新型 Windows Defender 零日漏洞“RoguePlanet”可授予攻击者系统访问权限

一位名为Nightmare Eclipse（也被称为 Chaotic Eclipse 或 Dead Eclipse）的研究人员公开发布了一个名为 RoguePlanet 的新概念验证 (PoC) 漏洞利用程序，该程序针对的是 Microsoft Windows Defender 中一个先前未公开的竞争条件漏洞。

成功执行后，该漏洞利用程序会生成一个以 SYSTEM 级权限运行的命令 shell，从而赋予攻击者对受感染 Windows 机器的最高访问权限。

该版本已发布到 GitHub，将于 2026 年 6 月 10 日星期二（补丁星期二）发布，这使得针对 Defender 的一系列披露事件变得更加紧迫。

Windows Defender 零日漏洞“RoguePlanet”

RoguePlanet 是一种本地权限提升 (LPE) 漏洞利用程序，它利用了 Microsoft Defender 内部处理逻辑中的竞争条件。普通的非特权用户可以利用此漏洞重定向以 SYSTEM 权限运行的 Defender 执行的文件操作，从而以最高权限级别执行攻击者控制的代码。

经证实，该漏洞可在已完全打补丁的 Windows 10 和 Windows 11 系统上运行，包括官方稳定版和 Canary Insider Preview 版，并已应用 2026 年 6 月补丁。

Windows Server 安装也被认为存在漏洞，尽管当前的 PoC 在该环境中无法运行，因为标准用户无法挂载 ISO 映像，而这是此特定漏洞利用链的先决条件。

根本缺陷是检查时间到使用时间 (TOCTOU) 竞争条件，Nightmare Eclipse 之前在 BlueHammer 漏洞利用程序 (CVE-2026-33825) 中利用了此类漏洞，该漏洞的 CVSS 评级为 7.8（高），微软已于 2026 年 4 月修复了该漏洞。

在之前的案例中，Defender 的文件修复引擎执行了特权写入操作，但没有充分锁定文件路径验证，这使得攻击者能够插入 NTFS 连接点，将 Defender 的系统级写入重定向到C:\Windows\System32。

RoguePlanet 采用了类似的路径重定向策略，这表明微软为加强 Defender 抵御此类攻击所做的努力仍不完整。

据 Nightmare Eclipse 称， RoguePlanet 是不断增加的一系列零日漏洞发布中的最新一个，自 2026 年 4 月初以来，Nightmare Eclipse 已披露了至少七个与 Defender 相关的漏洞，包括BlueHammer、RedSun、UnDefend、YellowKey、GreenPlasma 和 MiniPlasma。

安全研究人员普遍认为，此次攻击是针对微软在负责任的信息披露和账户终止方面存在的争议而发起的报复行动。

Huntress 的研究人员已经利用该研究人员早期的工具记录了现实世界的入侵，在实时攻击链中观察到了 BlueHammer、RedSun 和 Defender 破坏工具 UnDefend。

RoguePlanet漏洞在不同环境下的成功率各不相同。研究人员指出，在某些机器上，该漏洞的成功率高达100%，而在另一些机器上，由于竞争条件本身的不稳定性，该漏洞的利用率则较低。

虽然目前该漏洞利用程序在 Windows Server 上无法正常工作，但据信所有 Server 版本都存在同样的底层缺陷，只是攻击途径有所改变。

截至发稿时，微软尚未针对 RoguePlanet 漏洞发布 CVE 编号或公开安全公告。鉴于早期 Nightmare Eclipse 工具已被积极用于实际攻击，运行 Windows 10 或 Windows 11 终端的组织应高度重视此次漏洞披露，并密切关注微软安全更新指南，以获取紧急补丁。