微软在7月8日给Windows Defender的恶意软件防护引擎打了一个补丁,堵上了一个零日漏洞:编号CVE-2026-50656,代号RoguePlanet,能让攻击者在实时防护被关闭的情况下依然拿到系统管理员权限。这本该是一次干净的修复,但发现漏洞的匿名研究者NightmareEclipse第二天发帖指出,微软这次顺手塞进补丁里的“深度防御”功能,自己又留了一个新洞——攻击者架一台恶意SMB服务器,配合一个体积不设上限的隐藏文件,就能让Defender把整块硬盘的可用空间锁死,逼得系统里其他程序和服务随机崩溃。
微软目前没有正面确认这一具体说法。但把时间线拉长看,这已经是Defender今年第三次因为漏洞或漏洞修复被推上头条,NightmareEclipse和微软之间的拉锯也早不是第一回合。
补丁修了权限提升,却埋了个磁盘炸弹
RoguePlanet本身的危害很直接:远程攻击者能拿到Windows 10和11的管理员权限,用户关掉实时防护也挡不住。微软的补丁通过Microsoft Malware Protection Engine更新自动推送,不需要手动操作,公告里额外提了一句“包含改善安全相关功能的深度防御更新”。
问题就出在这句话里。NightmareEclipse说,新加的机制让mpengine.dll(恶意软件防护引擎对应的驱动)在打开文件时,某些情况下会泄露8字节数据;配合SpyNet(微软收集可疑样本上报云端的服务)新增的功能,Defender原本对扫描隔离文件设的大小上限出现了一个例外。只要文件是Zone.Identifier——Windows给外部来源文件打的隐藏标记,通常只有几十字节——Defender不管它实际有多大都会强行缓存到本地。
利用方式像个精心设计的圈套:先架一台自定义SMB服务器,回应一个正常的恶意文件请求,紧接着让Defender去读一个体积巨大的Zone.Identifier文件,再故意不响应读取请求,但保持连接不断。Defender会一直挂在那里,同时锁住这块硬盘的空间不释放。研究者原话是,这不会直接让系统崩溃,但硬盘写满之后,“Windows不会正常运转,多个应用和服务会随机崩溃”。
Defender今年的漏洞履历不太好看
把这次事件放进2026年的时间线里,会发现Defender的麻烦不是孤立事件。5月,Defender曾曝出两个问题——CVE-2026-41091(本地权限提升)和CVE-2026-45498(拒绝服务),微软当时没走常规的月度补丁节奏,单独发了一次引擎和平台更新去修。6月,NightmareEclipse公开了RoguePlanet的细节和可用攻击代码,那时微软还在补丁没出全就被抢先曝光。7月的更新算是堵上了RoguePlanet,但顺带引入的磁盘问题,又给这条时间线添了一环。
Defender修一个洞,常常顺手开一个新洞
这种“安全组件自己变成攻击面”的故障模式也不新鲜。2021年,Defender的引擎更新曾让核心进程MsMpEng.exe在系统盘疯狂生成成千上万个小文件,同样是靠单独的引擎和平台更新才收场,而不是常规累积更新。杀软要在系统里拿到扫描、隔离、缓存文件的权限,这些机制一旦设计或补丁出问题,最先遭殃的往往就是磁盘本身——这次的坑本质上还是同一类故障,只是触发方式换成了SMB连接和ADS文件缓存。
别和另一个存储bug搞混
- 风险.同期还有一个和Defender完全无关的Windows 11存储bug——系统文件CapabilityAccessManager.db-wal异常增长,最多能占用数百GB空间。微软在6月的可选更新里提到要改善磁盘空间占用,修复预计随7月的常规更新推送。两件事时间点凑得很近,很容易被混着说成“同一个磁盘填满问题”,但触发机制完全不是一回事:一个是Defender补丁引入的DoS,一个是系统日志文件自身的存储bug。
微软到目前也没有正面确认NightmareEclipse描述的这套连锁反应确实存在,官方公告里也找不到明确对应“磁盘空间被占满”这类拒绝服务描述的条目。这名研究者的身份同样是个谜——从5月开始,他就指责微软悄悄修复了一个他私下报告的漏洞,此后连续放出好几个零日的细节和可用代码,都赶在微软出补丁之前公开。微软一度公开批评这种披露方式“不负责任”,还暗示可能追究法律责任,招致舆论反弹后又收回了这个说法。周四这一轮发帖说明,这笔账双方谁都没打算先算清。
谁该盯着、盯什么
普通用户这边,补丁会自动下载安装,没什么犹豫空间——毕竟RoguePlanet本身能让攻击者绕过实时防护拿到管理员权限,风险更高,门槛也更低。真正需要留意的是企业IT和安全团队:如果NightmareEclipse描述的SMB利用方式被证实可行,内网里存在SMB服务交互的场景,值得先检查一下磁盘监控和告警是否到位,而不是等某台机器某天突然写满才发现。接下来该看的,是微软是否会为这个新问题单独发一次带外更新,以及会不会给出一个正式的CVE编号。
