Windows Defender零日补丁或让攻击者填满你的硬盘

Microsoft为Windows Defender零日漏洞发布的补丁可能引入了一个新问题:在某些系统上,该更新可能会写入大到足以完全消耗可用磁盘空间的文件。

该补丁于7月8日(周三)发布,用于修复RoguePlanet漏洞,一种本地权限提升漏洞,可在完全修补的Windows 10和Windows 11机器上授予攻击者SYSTEM级别的访问权限。RoguePlanet由一名以Nightmare Eclipse(也被称为Chaotic Eclipse)为化名的研究人员公开披露,其目标是Defender实时扫描引擎中的TOCTOU(Time-of-Check to Time-of-Use)竞态条件。

一旦成功利用,RoguePlanet会生成一个以NT AUTHORITYSYSTEM权限运行的Windows命令提示符,这是Windows机器上的最高权限级别,允许攻击者执行代码、安装软件,以及访问或删除系统上的任何数据。

副作用

据Ars Technica报道,Microsoft为修复RoguePlanet而发布的补丁可能导致Defender生成大文件,这些文件不断增长,直到填满受影响机器上的可用磁盘空间。触发该行为的确切条件尚未完全明确,但该问题已在多种Windows配置中被报告。

这一复杂局面是Microsoft与披露该漏洞的研究人员之间不断升级对抗的最新篇章。Nightmare Eclipse自2026年4月以来已发布了至少七个Defender相关的漏洞利用工具,包括BlueHammer(CVE-2026-33825,已于4月修补)、RedSun,以及可以完全禁用Defender的工具UnDefend,还有YellowKey、GreenPlasma和MiniPlasma。

Microsoft此前曾警告称,将与执法部门合作打击造成损害的行为者,研究人员将此作为将漏洞利用工具从主流平台迁移到自托管Git仓库的原因。其中三个早期漏洞利用工具在Microsoft发布补丁之前已被确认在真实环境中遭到利用。

Huntress的研究人员记录了使用该研究人员早期工具进行的真实入侵案例,BlueHammer、RedSun和UnDefend均在活跃的攻击链中被观察到。

对于用户来说,建议保持不变:安装更新以消除RoguePlanet漏洞,但在安装后的几天内密切监控磁盘空间。Microsoft尚未就该补丁副作用的修复是否正在开发中发表评论。

来源:Patch for Windows Defender 0-day could allow attackers to fill hard disk (Ars Technica,2026年7月9日);RoguePlanet: Microsoft Defender zero-day (CybelAngel);Windows Defender 0-Day Exploit RoguePlanet (Cyber Security News)

婷 翻译

Scroll to Top