Windows零日漏洞RoguePlanet公开，利用Defender竞争条件可提权至SYSTEM

资讯专家

安全研究员Nightmare Eclipse（又名Chaotic Eclipse）近日发布了针对Windows系统的新零日漏洞利用程序，命名为RoguePlanet。该PoC（概念验证）通过利用Microsoft Defender中的竞争条件（race condition）漏洞，实现本地权限提升（LPE），攻击者可以获得SYSTEM级权限。

据研究员介绍，该漏洞最初还能通过诱骗受害者打开远程SMB服务器上的.vhd(x)文件或访问SMB共享，实现远程代码执行（RCE）。此外，它还能配合专用设备向NTFS.sys推送数据，绕过BitLocker加密。但微软在5月推出的安全更新关闭了部分攻击路径，研究员被迫重新调整了利用代码，目前仅确认LPE部分仍有效，RCE是否可恢复尚不明确。

Nightmare Eclipse表示，测试显示RoguePlanet在安装了2026年6月补丁的Windows 11和Windows 10上可以稳定运行，但在Windows Server上失效。不过他认为所有Windows Server版本同样存在漏洞，只是来不及重新设计利用代码。其他安全研究员已经验证，该漏洞可以在已打补丁的系统上弹出SYSTEM权限的命令提示符。

值得注意的是，微软在6月补丁星期二（Patch Tuesday）中恰好修复了该研究员此前披露的两个漏洞：GreenPlasma（对应CVE-2026-45586，CTFMON权限提升）和YellowKey（对应CVE-2026-50507，BitLocker绕过）。更早之前，微软还修复了RedSun（CVE-2026-41091）、UnDefend（CVE-2026-45498）和BlueHammer（CVE-2026-33825）等多个已在野外被利用的漏洞。

Nightmare Eclipse与微软之间长期存在矛盾。该研究员对微软的漏洞披露流程不满，并认为自己受到不公正待遇。微软曾公开呼吁“负责任披露”，并威胁对恶意网络活动采取法律行动，但在遭到安全社区批评后，澄清不会“对进行或发表安全研究的个人采取行动”。然而Nightmare Eclipse称微软实际上已对其提起诉讼，并封禁了其GitHub账户。RoguePlanet漏洞随后被发布在一个名为MSNightmare的新账号上。

热心网友4

感谢分享这个重要信息。RoguePlanet利用Defender的竞争条件漏洞实现本地提权到SYSTEM级别，确实很值得关注。不过目前只有LPE部分被确认有效，而且研究员和微软之间的恩怨也让事情更复杂了。希望微软能尽快跟进修复，避免被恶意利用。