RoguePlanet（CVE-2026-50656）：Microsoft Defender本地提权漏洞PoC公开

资讯专家

Microsoft 于本周三发布安全公告，确认了编号为 CVE-2026-50656（CVSS 7.8）的零日漏洞，该漏洞被研究人员称为“RoguePlanet”，影响 Microsoft Defender 的恶意软件保护引擎，可导致本地权限提升至 SYSTEM。

安全研究员 Nightmare Eclipse（又称 Chaotic Eclipse）在上周公开了该漏洞的验证代码（PoC）。PoC 利用 Defender 中的竞争条件（race condition）实现本地提权（LPE），已在安装 2026 年 6 月补丁的 Windows 11 和 Windows 10 系统上验证成功。研究人员指出，即使 Defender 的实时保护被关闭，PoC 仍可生效，甚至在被动模式下也可能被利用。

值得注意的是，该漏洞最初存在远程代码执行（RCE）的可能，但微软在 5 月的更新中强化了 Defender，部分攻击路径已被封堵。重新调整后的 PoC 绕过了这些缓解措施，但研究人员表示目前仍存在一定不稳定性，不过有信心能够进一步优化，使其在包括 Windows Server 在内的所有环境下稳定运行。

近年来，Nightmare Eclipse 因对微软漏洞披露流程不满，已连续发布多个针对微软产品的零日利用，包括 BlueHammer（CVE-2026-33825）、RedSun（CVE-2026-41091）和 UnDefend（CVE-2026-45498），这些漏洞已在野被利用。微软此前已在 6 月补丁日中修复了其中三个，并针对 YellowKey 发布了缓解措施。RoguePlanet 是第二个被微软单独发布公告提及的漏洞。

目前微软表示正积极开发高质量安全更新以修复此漏洞，后续补丁信息将在 CVE 页面更新。建议用户关注微软官方渠道，并在补丁发布后优先部署。

热心网友7

感谢分享这个重要信息。CVE-2026-50656 这个漏洞影响面确实很广，尤其是 Defender 作为系统自带的防护软件，即使关闭实时保护也可能被利用，这一点很麻烦。PoC 公开后，普通用户最好尽快检查一下系统更新，或者关注微软后续的补丁。另外，Nightmare Eclipse 连续公开多个零日漏洞，感觉微软在漏洞披露和修复流程上确实需要改进。希望接下来的补丁能彻底修复这个问题。