“这个漏洞本质上是买彩票,有的机器能百分百触发,有的却怎么都跑不出来。”安全研究员 Nightmare Eclipse 在自建的代码仓库里这样形容 RoguePlanet——一个刚刚公开的微软安全组件零日漏洞。就在微软通过 2026 年 6 月补丁星期二修复了两个此前披露的漏洞数小时后,这个漏洞的利用代码被放到了网上,像一盆冷水浇在刚刚完成更新的系统管理员头上。
漏洞的核心是一处竞态条件,发生在该防病毒软件自身的文件处理流程里。攻击者如果在恰当的时间窗口发起精心构造的操作,就能抢在防护组件锁定资源之前篡改原本受保护的关键文件,最终让一个普通权限的进程获得 SYSTEM 级别的命令提示符。
Nightmare Eclipse 声称,这个漏洞影响所有安装了 2026 年 6 月安全更新的 Windows 10 和 Windows 11 设备,包括最新的正式版与 Canary 预览通道版本。换句话说,即使你前一天刚刚跟着补丁提醒点了重启,第二天打开电脑仍然暴露在攻击面之下。
利用成功率因机器而异,这种不确定性恰好反映了竞态条件的典型特征——它依赖于 CPU 调度、IO 负载以及微秒级的时间窗对齐。研究员的测试笔记显示,在某些环境里他能稳定达到 100% 的成功率,换到另外一台同样补丁等级的机器上却连续失败。网络安全公司 ThreatLocker 在收到报告后迅速在自己的实验室中进行了复现,并告诉 BleepingComputer,他们确认该漏洞能够对安装了 KB5094126 的 Windows 11 系统生效,还录制了完整的攻击演示视频。
ThreatLocker 的首席执行官 Danny Jenkins 给出了一个让部分安全人员稍感宽心的结论:“我们的初步分析证实,RoguePlanet 利用手法可行,且行为与描述一致。使用了应用白名单的组织能够阻止该漏洞被成功调用,这为对抗攻击提供了一层有效的防护。”这句话透露了两个重要信息:其一,漏洞利用已经完成了从理论到稳定武器化的跨越;其二,目前存在已被验证的阻断措施,只是这个措施依赖于额外的端点管控产品,并非操作系统自带的安全边界。
如果追溯这个漏洞的成长史,会发现它原本的模样要危险得多。Nightmare Eclipse 在博客中回忆,最初 RoguePlanet 被确认为一个远程代码执行漏洞,利用面是该软件在处理远程 SMB 共享上文件时的逻辑缺陷。攻击者只需诱导受害者打开一个托管在远端 SMB 服务器上的 .vhd 或 .vhdx 虚拟磁盘文件,它在扫描过程中就可能错误地覆盖自身的组件文件,最终达成远程代码执行。
这几乎是一条从网络直达 SYSTEM 权限的高速公路,不需要受害者进行任何高危操作,只靠一个文件打开动作就能让攻击者完全控制目标机器。研究员进一步指出,还有一个更简单的远程攻击路径:如果系统开启了符号链接评估设置,攻击者甚至不需要虚拟磁盘文件,仅诱导受害者访问一个 SMB 共享就足以触发同样的文件覆写逻辑。然而就在五月中旬,微软静默加固了该组件内部的 “mpengine!SysIO*” API,堵上了利用 junction(目录连接点)进行攻击的通路。Nightmare Eclipse 形容这次无声修补“抽干了”他改写利用代码的精力,导致他无法完成其他攻击场景的开发,目前也无法确认 RoguePlanet 是否彻底被限制为本地提权,还是仍存在某种方式能恢复远程代码执行能力。
这一点恰恰是眼下最让企业安全团队纠结的地方。一个只能本地执行的提权漏洞,需要攻击者已经获得低权限 shell 才能使用,严重程度显然低于一个能通过网络自传播的远程漏洞。但问题在于,没人能拍胸脯保证远程攻击链真的被封死了。微软在补丁日志里并未提及对相关文件处理逻辑的任何改动,研究员是通过逆向发现 API 行为发生了变化。这给攻击者留下了寻缝钻隙的空间——也许某个未被注意的变种依然可以用新的方式越过锁定,重新打通远程执行的路径。
从时间线来看,研究员选择在微软刚发布完六月补丁后立即公开利用代码,带有明确的策略色彩。他在说明中特意提到,此前托管在 GitHub 和 GitLab 上的漏洞利用仓库曾被微软移除,因此这次他把 PoC 放在了自建的 Git 服务器上。这背后是一场持续数月的拉锯战:Nightmare Eclipse 认为微软的漏洞披露流程和赏金计划存在问题,而微软则倾向于通过技术移除来减少利用代码的扩散。双方对立情绪在 RoguePlanet 公布当天到达了一个小高峰。
热门跟贴