查看: 5|回复: 0

报告称微软 6 月 Win11 补丁存在安全风险,恐致磁盘写满 / 应用崩溃

[复制链接]
  • 打卡等级:无名新人
  • 打卡总天数:2
  • 打卡月天数:0
  • 打卡总奖励:8
  • 最近打卡:2023-10-30 03:49:29
灌水成绩
152
5
147
主题
回帖
积分

等级头衔
UID : 181
等级 : 打工人

积分成就
威望 : 8
贡献 : 0
咕噜币 : 3
在线时间 : 1 小时
注册时间 : 2023-10-26
最后登录 : 2024-10-17

荣誉勋章
发表于 5 小时前 |Reserved| 显示全部楼层 |阅读模式
IT之家 7 月 10 日消息,微软于 7 月 8 日发布安全公告,宣布通过更新微软恶意软件防护引擎,已修复名为 RoguePlanet 的安全漏洞, 该漏洞 CVSS 3.1 评分为 7.8 分。

IT之家援引博文介绍,该漏洞追踪编号为 CVE-2026-50656,于今年 6 月由安全专家 NightmareEclipse 发现。远程攻击者利用该漏洞,可以获取 Windows 10 与 Windows 11 设备的管理员控制权限。

476ee73d-6db4-4cab-8018-b78491867b45.jpg

该漏洞利用 Microsoft Defender 扫描引擎中的一个竞态条件来获取 SYSTEM 权限,攻击成功后, 屏幕上会出现一个以 NT AUTHORITY\SYSTEM 身份运行的命令提示符。

攻击者提权成功后,可以安装软件、读取或删除任意文件、创建新账户、关闭安全防护 (包括 Defender 本身) 从内存中提取凭据,并以被攻陷的机器为跳板向网络中的其他电脑横向移动。

33be838c-f5f0-435e-97a4-ed0cbae042fc.png

NightmareEclipse 于 7 月 9 日发布博文,报道称补丁新增的缓解措施可能带来新的磁盘写入风险。

该专家指出在某些情况下打开文件后,Microsoft Malware Protection Engine 关联组件 mpengine.dll 会泄漏 8 字节数据。

此外,该专家还发现 mpengine.dll 中的 Spynet 函数会执行保留名为 : Zone.Identifier 的 ADS(附加数据流)文件副本操作,无论该文件多大,Windows Defender 都会将其缓存到本地。

e5c63973-5f90-4e75-bdb7-0113d8b25f29.jpg

该专家指出如果放在恶意 SMB 服务器场景下,如果关联 mimikatz.exe 等恶意文件和超大 ADS 文件(例如 mimikatz.exe:Zone.Identifier ),在响应读取请求的过程中,SMB 服务器在某个时刻应该停止响应读取请求,但保持连接存活。

这将导致 Defender 挂起并锁定受影响的文件,从而占用整个磁盘空间。

a8f84ad0-509d-4184-a69b-054140e2bba0.png

在用户感知中,虽然不会导致 Windows 11 系统崩溃蓝屏,但也会导致系统运行卡顿,多个应用程序和服务会随机崩溃。

参考



Some interesting findings in Windows Defender
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

相关侵权、举报、投诉及建议等,请发邮箱:2264161367@qq.com

© 2001-2026 咕噜侠社区 版权所有 |湘ICP备2024062282号

在本版发帖
官方QQ
返回顶部