网络安全研究员近期公开了一组针对微软 Defender 最新更新的漏洞分析结果:原本用于修复高危零日漏洞的补丁包,在完成原有问题封堵的同时,反而引入了可被恶意利用的全新风险,攻击者能够借助更新后的防护引擎,逐步占满目标设备的全部可用磁盘存储空间。

此前微软官方已经正式对外确认代号为「Rogue Planet」的零日漏洞CVE-2026-50656存在风险,该漏洞瞄准Defender核心文件mpengine.dll的底层设计缺陷,可被用来实现非法的内核权限提升操作。随后微软通过自动推送的常规安全智能升级,直接将防护引擎迭代至1.1.26060.3008版本,完成了这一高危漏洞的修复工作,尚未安装补丁的最后一个受影响版本为1.1.26050.11。
专业安全研究团队Nightmare-Eclipse在逆向拆解更新后的全新引擎时发现,微软为了强化防护能力新增的「纵深防御」相关改动,直接引入了一处仅8字节大小的敏感信息泄露点。目前这一泄露特性仅能在内核驱动层级被观测到,普通用户权限下完全没有触发路径,暂时判定无法被直接利用,不过相关的深度排查与延伸测试目前仍在持续推进中。
比信息泄露隐患更具威胁性的是另一项未被设防的设计疏漏:为了避免恶意文件扫描与隔离操作过度占用系统存储资源,Defender原本对所有待处理文件设置了明确的体积上限规则,这套限制机制却完全没有覆盖到缓存目录下的Zone.Identifier备用数据流。攻击者只需搭建一台受控的恶意SMB服务器,托管一份挂载超大体积Zone.Identifier附属内容的恶意文件,在主动延后特定读取操作的同时维持SMB会话不中断,就能让Defender全程锁定生成的缓存文件且完全不触发自动清理逻辑,最终导致磁盘占用量持续膨胀,直至所有存储空间被彻底占满,系统完全丧失写入能力。
这套攻击逻辑已经在Windows 11 25H2以及Windows Server 2025系统上完成了成功复现。目前研究人员还在同步测试该攻击手法能否适配WebDAV路径,如果验证可行,这套攻击将完全脱离本地局域网SMB链路的限制,直接通过公网发起远程渗透攻击,波及范围还将进一步扩大。





























浙公网安备 33010502007447号