宅中地 - 每日更新
宅中地 - 每日更新

贊助商廣告

X

微軟 Defender 補丁存在缺陷,或導致硬碟空間被耗盡

2026年07月14日 首頁 » 熱門科技

微軟周三發布的一個補丁,旨在修復其 Defender 安全引擎中的一個零日漏洞,但發現該漏洞的研究人員指出,這一補丁可能導致 Windows 系統寫入大量文件,進而耗盡所有可用磁盤空間。

該漏洞被追蹤編號為 CVE-2026-50656,代號 RoguePlanet,於今年 6 月首次進入公眾視野。化名 NightmareEclipse 的匿名研究人員當時公開披露了該漏洞及其利用代碼。此漏洞允許遠程攻擊者在實時保護被禁用的情況下,仍能獲取 Windows 10 和 Windows 11 設備的管理員權限。過去幾個月裡,這位匿名研究人員已陸續公開了多個零日漏洞,令微軟不得不疲於應對、加緊開發補丁。

微軟周三表示,已通過更新 Microsoft 惡意軟體防護引擎(該引擎被 Defender 防病毒應用程式所使用)的方式修復了 RoguePlanet 漏洞。此次修復將自動下載並安裝,無需用戶手動操作。周三的更新還包含了"縱深防禦更新,以助力提升安全相關功能"。

然而,NightmareEclipse 周四在一篇帖子中指出,上述縱深防禦新增內容所產生的行為,可能使攻擊者通過向硬碟寫入海量數據來耗盡所有可用空間。新引入的緩解措施在 mpengine.dll(與微軟惡意軟體防護引擎關聯的驅動程式)中引發了一個問題:在某些情況下,該驅動在嘗試打開文件時會泄露 8 字節數據。此外,SpyNet 中的新功能也在這一潛在的大規模文件寫入行為中扮演了一定角色。SpyNet 是一項雲服務,允許 Microsoft Security Essentials 或 Forefront Endpoint Protection 向微軟發送有關可疑軟體和程序的報告。

通常情況下,Defender 在掃描和隔離電腦時,會對寫入磁盤的文件大小設置嚴格上限。

該研究人員寫道:"這一設計邏輯合理,因為隔離一個超大文件會導致 Defender 完全耗盡可用磁盤空間。但我發現了一個例外情況——mpengine.dll 中的 SpyNet 相關函數似乎執意要在本地保留一份 Zone.Identifier ADS 文件的副本,且不論該文件有多大,Windows Defender 都會在本地進行緩存。"

Zone.Identifier 是一種隱藏的元數據文件,有時也被稱為替代數據流(ADS),Windows 會自動將其與從網際網路下載、通過電子郵件或其他外部途徑接收的文件相關聯。該數據流允許 Windows 標記文件的來源及其應歸屬的安全區域。

NightmareEclipse 表示,惡意行為者可以利用 SMB(伺服器消息塊,一種用於在本地 Windows 網路上共享文件的通信協議)來觸發上述行為。研究人員對此解釋道:

"利用該漏洞需要特定的環境配置——需要搭建一台自定義 SMB 伺服器來處理來自 Windows Defender 的請求。該 SMB 伺服器需提供一個惡意文件(例如 mimikatz 可執行文件),以及一個體積極大的 ADS 文件(例如 mimikatz.exe:Zone.Identifier)。在響應讀取請求的過程中,SMB 伺服器應在某個時間點停止響應讀取請求,但同時保持連接不斷開。這將導致 Defender 掛起,並持續鎖定占用全部磁盤空間的相關文件。"

他補充道,這不會直接導致系統崩潰,但磁盤滿載後 Windows 將無法正常運行,多個應用程式和服務會隨機崩潰。

微軟方面在一封電子郵件中表示,已知曉上述報告,並正在展開調查。

NightmareEclipse 與微軟之間的激烈爭端至少可以追溯到今年 5 月。當時,該研究人員聲稱微軟在未告知的情況下,悄然修復了其私下提交報告的一個漏洞。此後數周,研究人員在微軟尚未發布補丁之前,便陸續公開了多個漏洞的詳細資訊及利用代碼。微軟隨即公開指責該研究人員"未負責任地"披露漏洞,並隱晦地暗示可能採取法律行動。在遭到公眾強烈反對後,微軟有所退讓,承諾不會採取任何法律行動。

周四的這一事件表明,雙方之間的矛盾遠未平息。

Q&A

Q1:CVE-2026-50656 漏洞是什麼?它有什麼危害?

A:CVE-2026-50656(代號 RoguePlanet)是 Windows Defender 安全引擎中的一個零日漏洞。它允許遠程攻擊者在實時保護被禁用的情況下,仍可獲取 Windows 10 和 Windows 11 設備的管理員權限,威脅極為嚴重。該漏洞由匿名研究人員 NightmareEclipse 於 2026 年 6 月公開披露,並同步發布了漏洞利用代碼。

Q2:微軟發布的 Defender 補丁為什麼會導致硬碟空間被耗盡?

A:微軟此次補丁在 mpengine.dll 中新增了縱深防禦機制,但該機制存在缺陷:SpyNet 相關函數會強制在本地緩存 Zone.Identifier ADS 文件副本,且不受文件大小限制。攻擊者可藉助自定義 SMB 伺服器提供惡意文件及超大 ADS 文件,觸發 Defender 不斷寫入數據,最終耗盡全部磁盤空間,導致多個應用程式和系統服務隨機崩潰。

Q3:NightmareEclipse 和微軟之間的爭議是怎麼回事?

A:雙方矛盾起源於 2026 年 5 月。NightmareEclipse 指控微軟在未知會其本人的情況下,悄然修復了其私下提交的漏洞。此後,研究人員開始在微軟發布補丁前公開披露多個零日漏洞。微軟隨即公開譴責其行為不負責任,並暗示可能採取法律行動,但在遭到輿論反彈後承諾放棄訴訟。此次補丁缺陷事件表明,雙方爭端仍在持續。

宅中地 - Facebook 分享 宅中地 - Twitter 分享 宅中地 - Whatsapp 分享 宅中地 - Line 分享
相關內容
Copyright ©2026 | 服務條款 | DMCA | 聯絡我們
宅中地 - 每日更新