“在某些情况下打开文件后,Microsoft Malware Protection Engine 关联组件 mpengine.dll 会泄漏 8 字节数据。”7月9日,安全专家 NightmareEclipse 在博文中披露了微软6月补丁的一个意外副作用,让原本旨在修复高危漏洞的更新,变成了系统稳定性的新隐患。
漏洞的发现要回溯到6月。当时 NightmareEclipse 发现了一个追踪编号为 CVE-2026-50656 的安全漏洞,CVSS 3.1 评分达到 7.8 分。微软在7月8日发布安全公告,宣布通过更新恶意软件防护引擎完成修复。但这只是故事的开始,而非结束。
被修复的漏洞本身相当危险。远程攻击者可以利用 Microsoft Defender 扫描引擎中的一个竞态条件,获取 SYSTEM 权限。一旦得手,屏幕上会出现一个以 NT AUTHORITY\SYSTEM 身份运行的命令提示符——这意味着攻击者拿到了系统的最高控制权。后续操作包括安装任意软件、读取或删除文件、创建新账户、关闭包括 Defender 在内的安全防护,甚至从内存中提取凭据,再以被攻陷的机器为跳板,向网络中的其他电脑横向移动。该漏洞影响 Windows 10 和 Windows 11 设备。
但当补丁落地后,NightmareEclipse 发现了新问题。根源出在 mpengine.dll 中的 Spynet 函数——它会执行保留名为 :Zone.Identifier 的附加数据流文件副本操作。关键问题是:无论这个 ADS 文件多大,Windows Defender 都会将其缓存到本地。
在恶意 SMB 服务器的攻击场景下,情况会迅速恶化。如果把 mimikatz.exe 等恶意文件和超大 ADS 文件(例如 mimikatz.exe:Zone.Identifier)放在一起,在响应读取请求的过程中,SMB 服务器会在某个时刻停止响应读取请求,但故意保持连接存活。这会导致 Defender 挂起并锁定受影响的文件,最终占用整个磁盘空间。
用户感知到的不是蓝屏崩溃,而是一种更难排查的慢性故障:系统运行逐渐卡顿,多个应用程序和服务开始随机崩溃。磁盘空间在不知不觉中被吃到极限。安全专家在发现漏洞时表现出的兴奋,此刻已经变成对补丁质量的担忧——修了一个 7.8 分的高危漏洞,却引入了一个可能让用户系统陷入半瘫痪的磁盘写入风险。
热门跟贴