微软修补 RoguePlanet Defender 零日漏洞

Microsoft 发布了针对 RoguePlanet 的修复程序,这是一个公开披露的 Microsoft Defender 零日漏洞,编号为 CVE-2026-50656。该缺陷会影响 Microsoft 恶意软件防护引擎,并可能让本地攻击者在易受攻击的 Windows 系统上提升权限。

该修复通过 Microsoft 恶意软件防护引擎版本 1.1.26060.3008 发布。微软在其报告中列出了这个问题CVE-2026-50656 安全公告,而当前的Microsoft Defender 更新页面显示与最新版本相同的引擎版本。

RoguePlanet 很重要,因为 Microsoft Defender 以高权限运行来扫描、隔离和删除威胁。如果攻击者已经以低权限用户的身份执行本地代码,他们就可以利用该缺陷寻求系统级控制。

微软修复了什么

CVE-2026-50656 是 Microsoft 恶意软件保护引擎中的一个权限提升漏洞,该引擎是 Microsoft Defender 防病毒和其他 Microsoft 反恶意软件产品背后的核心扫描引擎。

CVE-2026-50656 的 NVD 条目将受影响的产品列为 Microsoft 恶意软件防护引擎,并显示从 1.1.0.0 开始到 1.1.26060.3008 之前结束的受影响版本。

Microsoft 的修复将引擎更新至 1.1.26060.3008。在成功安装 Defender 引擎更新之前,运行早期引擎版本的系统应被视为已公开。

物品细节
CVECVE-2026-50656
公众号侠盗星球
产品领域微软恶意软件防护引擎
漏洞类型特权提升
固定引擎版本1.1.26060.3008 或更高版本

RoguePlanet 本身并不向攻击者提供远程访问权限。攻击者必须已经能够在计算机上本地运行代码,例如通过低特权帐户、恶意软件立足点或其他早期阶段的妥协。

一旦存在本地立足点,该缺陷就会变得很有价值,因为 SYSTEM 是 Windows 上的最高本地权限级别。通过系统访问,攻击者可能会篡改安全工具、窃取凭据、安装持久性或深入环境。

BleepingComputer 报道称,RoguePlanet 在 2026 年 6 月星期二补丁发布后被公开披露,并且概念验证是在微软正常的协调披露流程之外共享的。这电脑发出响声报告还表示,该问题被描述为竞争条件,可能会产生具有系统权限的命令提示符。

  • 该缺陷需要本地访问。
  • 攻击者可以在本地运行代码后无需用户交互。
  • 公共名称 RoguePlanet 指的是与 Defender 漏洞相关的漏洞利用。
  • 该修复是通过恶意软件防护引擎提供的,而不是普通的 Windows 功能更新。
  • 组织应跨托管端点验证引擎版本。

该漏洞如何在高层次上发挥作用

微软将该缺陷归因于文件访问之前的不正确链接解析。当特权进程以攻击者可以影响的方式处理文件路径、链接或重定向时,可能会出现这种类型的弱点。

Microsoft Defender 防病毒更新文档解释说,引擎更新附带安全情报更新,Defender 会定期下载这些更新以保持最新的保护。

由于恶意软件防护引擎作为端点保护堆栈的一部分运行,因此文件处理错误可能会带来严重影响。赢得比赛的本地攻击者可以使特权防御者进程执行有助于提升特权的操作。

安全细节对防守者的意义
本地攻击向量攻击者首先需要在目标设备上执行代码
所需权限低标准本地用户或低权限有效负载可能就足够了
无用户交互一旦本地执行存在,受害者就不需要点击提示
系统级影响成功利用可能会提供完全的本地控制

哪些版本受到影响

安全团队应该关注引擎版本而不仅仅是 Windows 版本。这国家漏洞数据库显示 1.1.26060.3008 之前的 Microsoft 恶意软件防护引擎版本受到影响。

这意味着如果 Defender 或其他 Microsoft 反恶意软件产品使用易受攻击的引擎版本,Windows 10 和 Windows 11 系统都可能相关。离线设备、暂停的更新环、黄金映像、VDI 池和很少重新启动的端点值得额外关注。

修复版本为1.1.26060.3008或更高版本。如果管理员的端点工具可以直接报告 Defender 引擎版本,则管理员不应仅依赖成功的 Windows 更新状态。

发动机版本地位
早于 1.1.26060.3008潜在的脆弱性
1.1.26060.3008修补 CVE-2026-50656
晚于 1.1.26060.3008包含修复(假设更新安装正确)

用户如何查看Defender引擎版本

大多数家庭用户应该会自动收到更新,因为 Defender 在后台更新其引擎和安全智能。不过,手动检查可以确认补丁已经落地。

微软的Defender 安全情报更新页面列出最新的引擎版本、平台版本、发布时间、安全情报版本。用户可以将该信息与 Windows 安全中显示的引擎版本进行比较。

在 Windows 上,打开 Windows 安全,转到病毒和威胁防护,检查防护更新,然后打开关于以查看引擎版本。如果引擎版本早于 1.1.26060.3008,请再次运行更新并确保设备可以访问 Microsoft 更新服务。

  1. 打开 Windows 安全性。
  2. 选择病毒和威胁防护。
  3. 打开保护更新并检查更新。
  4. 打开“设置”并选择“关于”。
  5. 确认引擎版本显示 1.1.26060.3008 或更高版本。

企业管理员应该做什么

企业团队应验证整个端点组的更新。 RoguePlanet 是一个本地权限升级漏洞,因此当与网络钓鱼、恶意软件执行、远程访问滥用或其他初始访问路径结合使用时,它会变得非常危险。

Microsoft Defender 更新指南指出 Defender Antivirus 使用云提供的保护和定期安全情报更新。管理员应确认更新策略、代理、防火墙和管理环不会阻止引擎交付。

组织还应检查 Defender 显示已禁用但 Microsoft 反恶意软件组件仍然安装的端点。扫描仪可能仍会对磁盘上​​的文件进行标记,但实际暴露程度取决于易受攻击的引擎是否正在运行且在受影响的配置中是否可访问。

  • 跨 Windows 端点审核 Defender 引擎版本。
  • 优先考虑错过最近安全情报更新的设备。
  • 检查离线系统、VDI 映像和延迟更新环。
  • 查看端点日志是否存在可疑的本地权限升级行为。
  • 尽可能限制本地用户权限。
  • 确认 Defender 更新通道可以访问 Microsoft 服务。

公开披露提高了紧迫性

微软表示该问题已公开披露。这一细节增加了紧迫性,因为攻击者和研究人员可以在某些系统仍未打补丁的情况下研究公共材料。

该公司尚未表示在发布补丁时 CVE-2026-50656 正在被积极利用。尽管如此,公开概念验证的可用性可以缩短披露和现实世界攻击之间的时间。

微软安全更新指南是状态和补救详细信息的主要来源,而蜂鸣声计算机覆盖范围提供了有关公开披露时间表和早期 RoguePlanet 报告的有用背景。

底线

RoguePlanet 展示了为什么端点保护引擎需要像浏览器、操作系统和生产力应用程序一样快速更新。安全工具处理敏感的系统操作,因此这些工具中的错误可能成为高价值的权限升级路径。

对于大多数用户来说,实际修复方法很简单:确保启用 Microsoft Defender 更新,检查引擎版本,并确认其为 1.1.26060.3008 或更高版本。

对于组织来说,应对措施应该更进一步。验证更新覆盖范围、调查异常值、减少本地权限暴露,并将公共本地权限升级错误视为对已经站稳脚跟的攻击者的有用工具。

FAQ

Microsoft Defender 中的 RoguePlanet 是什么?

RoguePlanet 是 CVE-2026-50656 的公开名称,它是 Microsoft Defender 使用的 Microsoft 恶意软件保护引擎中的一个特权提升漏洞。

哪个 Microsoft Defender 引擎版本修复了 RoguePlanet?

Microsoft 在 Microsoft 恶意软件防护引擎版本 1.1.26060.3008 中修复了 RoguePlanet。系统应运行该版本或更高版本的引擎版本。

RoguePlanet 可以被远程利用吗?

RoguePlanet 是一个本地权限提升漏洞。攻击者首先需要执行本地代码,但成功利用该漏洞可能使攻击者获得系统级权限。

CVE-2026-50656 是否在野外被利用?

微软表示该漏洞已公开披露,但并未说明 CVE-2026-50656 在发布补丁时已被广泛利用。

如何检查 Microsoft Defender 是否有修复程序?

打开 Windows 安全,转到病毒和威胁防护,检查防护更新,然后打开关于并确认引擎版本为 1.1.26060.3008 或更高版本。