微软 Defender 补丁存在缺陷,或导致硬盘空间被耗尽

微软周三发布补丁修复Windows Defender零日漏洞(CVE-2026-50656),但发现该漏洞的研究员NightmareEclipse随即指出,此次更新引入的新防御机制存在问题:mpengine.dll驱动在处理文件时会泄漏数据,结合SpyNet云服务的新功能,可能被攻击者利用SMB协议触发大量文件写入操作,最终耗尽磁盘空间。微软表示已知晓相关报告并正在调查。

微软周三发布的一个补丁,旨在修复其 Defender 安全引擎中的一个零日漏洞,但发现该漏洞的研究人员指出,这一补丁可能导致 Windows 系统写入大量文件,进而耗尽所有可用磁盘空间。

该漏洞被追踪编号为 CVE-2026-50656,代号 RoguePlanet,于今年 6 月首次进入公众视野。化名 NightmareEclipse 的匿名研究人员当时公开披露了该漏洞及其利用代码。此漏洞允许远程攻击者在实时保护被禁用的情况下,仍能获取 Windows 10 和 Windows 11 设备的管理员权限。过去几个月里,这位匿名研究人员已陆续公开了多个零日漏洞,令微软不得不疲于应对、加紧开发补丁。

微软周三表示,已通过更新 Microsoft 恶意软件防护引擎(该引擎被 Defender 防病毒应用程序所使用)的方式修复了 RoguePlanet 漏洞。此次修复将自动下载并安装,无需用户手动操作。周三的更新还包含了"纵深防御更新,以助力提升安全相关功能"。

然而,NightmareEclipse 周四在一篇帖子中指出,上述纵深防御新增内容所产生的行为,可能使攻击者通过向硬盘写入海量数据来耗尽所有可用空间。新引入的缓解措施在 mpengine.dll(与微软恶意软件防护引擎关联的驱动程序)中引发了一个问题:在某些情况下,该驱动在尝试打开文件时会泄露 8 字节数据。此外,SpyNet 中的新功能也在这一潜在的大规模文件写入行为中扮演了一定角色。SpyNet 是一项云服务,允许 Microsoft Security Essentials 或 Forefront Endpoint Protection 向微软发送有关可疑软件和程序的报告。

通常情况下,Defender 在扫描和隔离计算机时,会对写入磁盘的文件大小设置严格上限。

该研究人员写道:"这一设计逻辑合理,因为隔离一个超大文件会导致 Defender 完全耗尽可用磁盘空间。但我发现了一个例外情况——mpengine.dll 中的 SpyNet 相关函数似乎执意要在本地保留一份 Zone.Identifier ADS 文件的副本,且不论该文件有多大,Windows Defender 都会在本地进行缓存。"

Zone.Identifier 是一种隐藏的元数据文件,有时也被称为替代数据流(ADS),Windows 会自动将其与从互联网下载、通过电子邮件或其他外部途径接收的文件相关联。该数据流允许 Windows 标记文件的来源及其应归属的安全区域。

NightmareEclipse 表示,恶意行为者可以利用 SMB(服务器消息块,一种用于在本地 Windows 网络上共享文件的通信协议)来触发上述行为。研究人员对此解释道:

"利用该漏洞需要特定的环境配置——需要搭建一台自定义 SMB 服务器来处理来自 Windows Defender 的请求。该 SMB 服务器需提供一个恶意文件(例如 mimikatz 可执行文件),以及一个体积极大的 ADS 文件(例如 mimikatz.exe:Zone.Identifier)。在响应读取请求的过程中,SMB 服务器应在某个时间点停止响应读取请求,但同时保持连接不断开。这将导致 Defender 挂起,并持续锁定占用全部磁盘空间的相关文件。"

他补充道,这不会直接导致系统崩溃,但磁盘满载后 Windows 将无法正常运行,多个应用程序和服务会随机崩溃。

微软方面在一封电子邮件中表示,已知晓上述报告,并正在展开调查。

NightmareEclipse 与微软之间的激烈争端至少可以追溯到今年 5 月。当时,该研究人员声称微软在未告知的情况下,悄然修复了其私下提交报告的一个漏洞。此后数周,研究人员在微软尚未发布补丁之前,便陆续公开了多个漏洞的详细信息及利用代码。微软随即公开指责该研究人员"未负责任地"披露漏洞,并隐晦地暗示可能采取法律行动。在遭到公众强烈反对后,微软有所退让,承诺不会采取任何法律行动。

周四的这一事件表明,双方之间的矛盾远未平息。

Q&A

Q1:CVE-2026-50656 漏洞是什么?它有什么危害?

A:CVE-2026-50656(代号 RoguePlanet)是 Windows Defender 安全引擎中的一个零日漏洞。它允许远程攻击者在实时保护被禁用的情况下,仍可获取 Windows 10 和 Windows 11 设备的管理员权限,威胁极为严重。该漏洞由匿名研究人员 NightmareEclipse 于 2026 年 6 月公开披露,并同步发布了漏洞利用代码。

Q2:微软发布的 Defender 补丁为什么会导致硬盘空间被耗尽?

A:微软此次补丁在 mpengine.dll 中新增了纵深防御机制,但该机制存在缺陷:SpyNet 相关函数会强制在本地缓存 Zone.Identifier ADS 文件副本,且不受文件大小限制。攻击者可借助自定义 SMB 服务器提供恶意文件及超大 ADS 文件,触发 Defender 不断写入数据,最终耗尽全部磁盘空间,导致多个应用程序和系统服务随机崩溃。

Q3:NightmareEclipse 和微软之间的争议是怎么回事?

A:双方矛盾起源于 2026 年 5 月。NightmareEclipse 指控微软在未知会其本人的情况下,悄然修复了其私下提交的漏洞。此后,研究人员开始在微软发布补丁前公开披露多个零日漏洞。微软随即公开谴责其行为不负责任,并暗示可能采取法律行动,但在遭到舆论反弹后承诺放弃诉讼。此次补丁缺陷事件表明,双方争端仍在持续。

来源:ArsTechnica

0赞

好文章,需要你的鼓励

2026

07/14

18:20

分享

点赞

邮件订阅