返回
快讯

Microsoft Defender RoguePlanet零日可提权至SYSTEM

研究员 Chaotic Eclipse 发布 Microsoft Defender 零日 RoguePlanet 的 PoC 利用代码,在安装 2026 年 6 月 Patch Tuesday 更新的 Windows 10/11 上仍可生效。成功后可获得 SYSTEM 权限并执行任意代码。Windows Server 当前版本的 PoC 不能直接使用,微软已知悉并称正调查。

CVE-2026-33825CVE-2026-45498CVE-2026-41091

匿名安全研究员 Chaotic Eclipse(又名 Nightmare-Eclipse)发布了又一个 Microsoft Defender 零日漏洞的概念验证(PoC)利用代码,该漏洞名为 RoguePlanet。

这位研究员在一个新的 GitHub 账号“MSNightmare”下发布该利用代码时表示:“这个 exploit 是一个竞争条件,所以结果有时行有时不行。”他说:“我在某些机器上已经做到 100% 成功率,但在其他机器上则很难工作。”

如果利用成功,结果将获得一个具有 SYSTEM 级权限的 shell,使攻击者能够运行任意代码或执行未授权操作。

研究员表示,该 exploit 已在安装了 2026 年 6 月 Patch Tuesday 更新的 Windows 11 和 Windows 10 机器上测试过,这意味着该 exploit 可在已更新的桌面操作系统版本上工作。

不过,就其当前形式而言,该 exploit 不能在 Windows Server 实例上工作,因为“普通用户不能挂载 ISO image”。Chaotic Eclipse 强调,Windows Server 安装同样受该缺陷影响,而且需要重新设计 exploit 才能使其生效。

“让这个 PoC 真正工作让我精疲力竭,严重损害了我的身心健康,但最终在 5 月底 [sic],一个完整的 PoC 被开发出来了,”研究员说。

“Microsoft 为保护 Defender 免受 path redirection 攻击所做的努力毫无用处,我手上还有一批 Defender 中的 memory corruption 漏洞,更不用说我在其他几个组件中还掌握着另一批漏洞。”

视频来源:ThreatLocker

安全研究员 Will Dormann 在 Mastodon 分享的帖子中表示:“据说它并非 100% 可靠,但我第一次尝试就成功了。”

RoguePlanet 是 Chaotic Eclipse 近几个月披露的 Microsoft Defender 漏洞系列中的最新一个——

BlueHammer(CVE-2026-33825)

UnDefend(CVE-2026-45498)

RedSun(CVE-2026-41091)

这些未经协调的披露,被认为是研究员与 Microsoft 之间据称沟通破裂后的报复性举动的一部分。该研究员并未公开身份。

在其 Blogger 页面上的加密签名帖子中,Chaotic Eclipse 对 Microsoft 处理披露流程的方式表示不满,并指责该公司撤销了其 Microsoft Security Response Center(MSRC)账户的访问权限;研究员可以通过该账户报告漏洞。该研究员还指控 Redmond 羞辱他、无视其报告、未就已识别漏洞向其支付报酬,并对其进行诽谤。

上月底,Microsoft 谴责了公开漏洞披露,称其“绝不合理”,并让客户面临“没有必要的风险”。值得注意的是,上述三个 Defender 漏洞此后都已在野外被利用。

这场公开争执还导致其 GitHub 和 GitLab 账户被关闭。安全研究员 Kevin Beaumont 表示:“Microsoft 正试图滥用其对 GitHub 的所有权,只保护自家产品;并滥用其与执法部门的广泛联系,把在其自身产品中发布漏洞信息的行为描绘成犯罪行为。”

Microsoft 在一条 X 帖子中表示:“就我们的法律事务处理方式而言,我们无意对进行或发布安全研究的个人采取行动。” “当个人违法并从事恶意活动,对我们的客户造成实际伤害时,我们会酌情与执法部门合作。”

“我们致力于以透明、清晰沟通和专业精神处理每一次互动。我们始终坚信,协调漏洞披露(Coordinated Vulnerability Disclosure)是保护客户和改进产品的基础。”

更新

应要求置评时,Microsoft 发言人向 The Hacker News 提供了以下声明:

Microsoft 已知悉所报告的漏洞,正在积极调查这些说法的有效性及潜在适用性。Microsoft 致力于调查安全问题,并尽快更新受影响产品以保护客户。重要的是,我们支持协调漏洞披露;这是行业标准,可通过确保研究结果在公开前得到彻底调查和处理,从而保护客户并支持研究社区。

(本文在发布后已更新,加入了 Microsoft 的回应。)