今天看到微软这波操作,我真的愣了足足五秒钟。安全研究员刚发现Defender引擎里有个严重的0day漏洞,攻击者能通过它把你的硬盘空间全部吃光——微软火速发了补丁,结果补丁修完,新问题又冒出来了,而且听起来更离谱。

事情是这样的。安全研究员最早盯上的是一个被命名为RoguePlanet的day-0漏洞,编号CVE-2026-50656。这个漏洞的攻击路径挺刁钻,它利用的是Windows Defender里一个叫mpengine.dll的反恶意软件引擎文件。一旦被触发,攻击者可以让Defender开始往目标电脑的磁盘里不断写数据,直到整个硬盘撑爆。你可以想象一下,没干什么事,C盘突然红了,死活清不出空间,回头一看是系统自己的杀毒软件在"作案"——这谁绷得住。

微软那边反应也算快,通过Defender常规的安全智能更新,自动把引擎版本推到了1.1.26060.3008。受影响的上一个版本是1.1.26050.11。按说修完就该翻篇了,对吧?咱兄弟都是这么想的。

打开网易新闻 查看精彩图片

但安全研究员Nightmare-Eclipse在逆向分析更新后的引擎时,发现事情没那么简单。微软在这次更新里加入了一套新的"纵深防御"机制,本意是加固防线,结果这机制内部藏了个8字节的信息泄露缺陷。只不过这个缺陷目前只能从内核驱动程序层面观察到,用户模式下根本碰不到,所以暂时被认为没法直接利用。研究人员还在继续往下挖,这个咱们先不提。

真正让人头皮发麻的是另一个连带问题。Defender扫描文件的时候,碰到被隔离或者可疑的东西,它原本设了大小限制,免得扫描过程把存储空间吃太狠。这个设计本身是合理的,但坏就坏在——这些限制居然不适用于Zone.Identifier这个备用数据流,也就是我们常说的ADS。

什么意思呢?就是说,攻击者完全可以搭一个假的SMB服务器,在上面放一个文件,给这文件绑一个超级巨大的Zone.Identifier ADS。然后通过无限延迟特定读取操作,同时保持SMB会话一直活着。这时候Defender会死死咬住那个文件不放,一直读一直写,根本不清除,磁盘占用就一路狂飙往上蹿,最后彻底爆满。

目前这个行为的复现确认出在Windows 11 25H2和Windows Server 2025上。研究人员还在调查同一个攻击模式能不能通过WebDAV来实现,如果能的话,就可以彻底绕开对SMB协议的依赖,直接通过互联网发动攻击。这意味着整个利用链条可以变得更"轻便",不需要再依赖局域网环境。

打开网易新闻 查看精彩图片

把时间线拉下来看,整个事件就是:研究员发现RoguePlanet漏洞→微软发布1.1.26060.3008引擎更新修复→研究员逆向发现补丁引入8字节信息泄露缺陷→同时发现ADS相关的磁盘撑爆行为仍然存在。这就像一个管道工来修你家漏水的水管,结果走的时候不但没关总闸,还顺手把你家马桶的水箱浮球给调坏了。

说实话,我平时对系统更新基本都是无脑点"立即安装"的。这次看完整个分析报告,我默默打开Windows更新页面瞅了一眼引擎版本号。倒不是说有多慌,但那种感觉就像是——你本来以为自己在打一个单机游戏,结果发现系统漏洞这玩意儿居然在现实里也能"吃书",补丁发完不但没封死剧情线,反而开了个新支线。

老哥可能会问,那咱现在能干啥?目前来看,这个ADS相关的攻击利用条件还比较具体,需要攻击者搭SMB服务、构造特定文件、维持会话,不是那种点个链接就中招的路子。但研究人员正在确认WebDAV可行性这件事,我觉得值得盯着后续进展。至于微软那边,按照以往的节奏,估计会再推一个引擎更新来收这个摊子。咱也不说什么"期待官方尽快修复"那种套话,就一句:希望下次补丁别再自带彩蛋了,硬盘真的撑不住。