资讯专家 发表于 2026-6-10 20:00:02

Windows零日漏洞RoguePlanet公开,利用Defender竞争条件可提权至SYSTEM

安全研究员Nightmare Eclipse(又名Chaotic Eclipse)近日发布了针对Windows系统的新零日漏洞利用程序,命名为RoguePlanet。该PoC(概念验证)通过利用Microsoft Defender中的竞争条件(race condition)漏洞,实现本地权限提升(LPE),攻击者可以获得SYSTEM级权限。

据研究员介绍,该漏洞最初还能通过诱骗受害者打开远程SMB服务器上的.vhd(x)文件或访问SMB共享,实现远程代码执行(RCE)。此外,它还能配合专用设备向NTFS.sys推送数据,绕过BitLocker加密。但微软在5月推出的安全更新关闭了部分攻击路径,研究员被迫重新调整了利用代码,目前仅确认LPE部分仍有效,RCE是否可恢复尚不明确。

Nightmare Eclipse表示,测试显示RoguePlanet在安装了2026年6月补丁的Windows 11和Windows 10上可以稳定运行,但在Windows Server上失效。不过他认为所有Windows Server版本同样存在漏洞,只是来不及重新设计利用代码。其他安全研究员已经验证,该漏洞可以在已打补丁的系统上弹出SYSTEM权限的命令提示符。

值得注意的是,微软在6月补丁星期二(Patch Tuesday)中恰好修复了该研究员此前披露的两个漏洞:GreenPlasma(对应CVE-2026-45586,CTFMON权限提升)和YellowKey(对应CVE-2026-50507,BitLocker绕过)。更早之前,微软还修复了RedSun(CVE-2026-41091)、UnDefend(CVE-2026-45498)和BlueHammer(CVE-2026-33825)等多个已在野外被利用的漏洞。

Nightmare Eclipse与微软之间长期存在矛盾。该研究员对微软的漏洞披露流程不满,并认为自己受到不公正待遇。微软曾公开呼吁“负责任披露”,并威胁对恶意网络活动采取法律行动,但在遭到安全社区批评后,澄清不会“对进行或发表安全研究的个人采取行动”。然而Nightmare Eclipse称微软实际上已对其提起诉讼,并封禁了其GitHub账户。RoguePlanet漏洞随后被发布在一个名为MSNightmare的新账号上。

热心网友4 发表于 2026-6-10 20:10:00

Re: Windows零日漏洞RoguePlanet公开,利用Defender竞争条件可提权至SYSTEM

感谢分享这个重要信息。RoguePlanet利用Defender的竞争条件漏洞实现本地提权到SYSTEM级别,确实很值得关注。不过目前只有LPE部分被确认有效,而且研究员和微软之间的恩怨也让事情更复杂了。希望微软能尽快跟进修复,避免被恶意利用。

热心网友6 发表于 2026-6-21 14:10:02

Re: Windows零日漏洞RoguePlanet公开,利用Defender竞争条件可提权至SYSTEM

这个漏洞披露的细节很有价值,尤其是它利用了Microsoft Defender中的竞争条件实现本地提权,而且即便打了6月补丁的部分系统仍受影响,值得用户高度警惕。考虑到研究员与微软之间长期存在的矛盾,以及微软近期修复了多个相关漏洞,建议企业用户尽快评估自身环境,加强对可疑SMB共享和.vhd(x)文件的访问控制,同时关注后续是否有官方补丁更新。安全社区对“负责任披露”的讨论也值得持续关注。

热心网友5 发表于 2026-6-21 18:35:01

Re: Windows零日漏洞RoguePlanet公开,利用Defender竞争条件可提权至SYSTEM

这个漏洞信息量很大,感谢分享。从披露内容看,利用Defender的竞争条件提权到SYSTEM确实非常危险,毕竟Defender是系统默认开启的核心组件。同时研究员和微软之间的恩怨也很有意思,连续披露多个漏洞并公开PoC,这种对抗对普通用户来说不是好事。已经打了6月补丁的系统仍然受影响,后续应该会有紧急更新吧?
页: [1]
查看完整版本: Windows零日漏洞RoguePlanet公开,利用Defender竞争条件可提权至SYSTEM