导语:他回来了。2026年6月9日,与微软彻底闹翻的安全研究者Nightmare Eclipse(梦魇日食)在GitHub上注册了新账号MSNightmare,发布了针对微软Defender的新零日漏洞——RoguePlanet。这个利用竞态条件的漏洞能在打完2026年6月全部补丁的Windows系统上弹出SYSTEM级命令行。更值得关注的是:原版RoguePlanet实际上是一个远程代码执行漏洞,还藏着BitLocker绕过这条暗线。微软5月中旬悄悄修补了部分路径,但Nightmare Eclipse笃信BitLocker绕过可能仍然有效。
一、漏洞概述
RoguePlanet是Nightmare Eclipse于2026年6月9日公开发布的微软Defender零日漏洞利用程序,核心是Defender文件处理流程中的竞态条件(Race Condition)。
危险等级:极高——它能在打完2026年6月补丁的Windows 10/11系统上成功利用,意味着微软刚发布的月度安全更新对它完全无效。
利用效果:普通用户权限下直接弹出SYSTEM级命令行窗口,攻击者获得目标系统的最高控制权。
受影响系统:
- Windows 11(正式版 + Canary分支)
- Windows 10(已安装2026年6月安全更新)
- Windows Server理论上同样存在漏洞(当前PoC因ISO挂载限制无法直接工作)
二、”他回来了”:Nightmare Eclipse的复仇序曲
这次发布充满了戏剧性。
Nightmare Eclipse与微软的恩怨已持续数月。自2026年4月起,他相继公开了BlueHammer、UnDefend、RedSun三个Defender零日;随后又释放了GreenPlasma和YellowKey,分别针对BitLocker和CTFMON组件。这些漏洞全部采用未经协调披露——直接发布PoC,不给微软修复窗口。
微软的反应是:联系GitHub/GitLab删除其代码仓库,封禁其MSRC账户,并在博客中暗示将”与执法部门合作”。Nightmare Eclipse的公开回应是:继续放。
2026年6月8日,微软发布6月补丁 Tuesday,修复了GreenPlasma(CVE-2026-45586)和YellowKey(CVE-2026-50507)。第二天,Nightmare Eclipse用新注册的GitHub账号MSNightmare发布了RoguePlanet,并在博客中写道:
“I’m also pretty sure Microsoft will ban the new github account, a special thanks to a great developer who made it possible for us to have our own hosting solution, circumventing Microsoft ridiculous attempts to wipe me out of the internet.”
安全社区调侃:“看看这个账号能维持多久。”
三、原版RoguePlanet:曾是一个完整的RCE漏洞
值得注意的是,当前公开的RoguePlanet已是降级版本。
Nightmare Eclipse在其PGP签名的博客文章中详细讲述了漏洞演变史。原版RoguePlanet在开发初期被证实为完整的远程代码执行漏洞,存在三条攻击路径:
路径一:SMB共享上的VHD(x)文件 诱导受害者打开托管在远程SMB服务器上的.vhd(x)文件,Defender扫描时覆盖自身文件,成功利用直接获得RCE。
路径二:符号链接评估设置 如果目标系统启用了符号链接评估的远程到本地(R2L)设置,受害者只需打开SMB共享,无需其他操作,即可触发RCE。
路径三:BitLocker绕过 需要专用设备向NTFS.sys推送特定数据,当Defender尝试读取恶意文件时,可将清理后的文件重定向到任意位置,实现完整的BitLocker启动加密绕过。攻击者取得加密磁盘的访问权限。
Nightmare Eclipse表示,三条路径均通过调试器验证有效。
然后,微软出手了。
四、微软5月补丁:砍断RCE,只剩LPE
2026年5月中旬,微软悄悄向Defender推送了更新,修补了mpengine!SysIO*相关API, junction攻击路径自此失效。
“Now after mid May, a patch was pushed to Defender in mpengine!SysIO* api that made any junction attacks useless.”
Nightmare Eclipse被迫重写漏洞利用代码,这一过程”耗尽了灵魂,严重损害了身心健康”。重写后的版本降级为本地权限提升(LPE),依赖竞态条件触发,成功率在不同机器上存在差异。
但他同时指出:
“I think the bitlocker bypass might be doable even with the changes but I’m really not sure.”
BitLocker绕过这条暗线——或许仍然畅通。
五、技术细节:竞态条件如何被利用
当前版本的RoguePlanet利用的是微软Defender在扫描文件时的竞态条件窗口。
简化攻击流程:
- 普通用户权限启动,创建一个精心构造的目录结构结合符号链接
- 挂载ISO镜像,触发Defender扫描流程
- 在竞态窗口内将恶意文件植入Defender扫描路径
- Defender在竞态条件下错误地覆盖自身文件
- 执行流被劫持,弹出SYSTEM级权限的cmd.exe
关键限制:
- 成功率非100%,部分机器可达100%,部分环境则不稳定
- Windows Server版因标准用户无权挂载ISO,当前方无法直接利用
- 微软若推出针对性缓解措施,利用链可能彻底断裂
缓解措施(来自ThreatLocker):应用程序白名单(Application Allowlisting)可有效阻止RoguePlanet执行。
六、PoC获取与研究者生态
GitHub仓库:
https://github.com/MSNightmare/RoguePlanet仓库文件:
| 文件 | 说明 |
|---|---|
| RoguePlanet.cpp | 漏洞利用源代码(5.7MB) |
| RoguePlanet.exe | 编译好的可执行文件 |
| RoguePlanet.png | 利用效果截图 |
| README.md | 技术说明 |
值得注意的是,PoC文件名中将”RoguePlanet”错误拼写为”rogeplanet”,vx-underground吐槽:” releases zero day → spells rogue wrong in file → ‘rogeplanet’ smh”
自托管方案: Nightmare Eclipse已准备后路,在GitHub账号被封后通过git.projectnightcrawler.dev/NightmareEclipse自建代码托管平台,并表示正在与社区合作提供更多备份方案。
七、微软回应与时间线
微软声明:
“微软已知悉报告的漏洞,正在积极调查这些声明的有效性和潜在适用性。微软致力于调查安全问题,并尽快更新受影响产品以保护客户。重要的是,我们支持协调漏洞披露——这是保护客户和支持研究界的行业标准。”
完整时间线:
| 时间 | 事件 |
|---|---|
| 2026年4月 | Nightmare Eclipse公开BlueHammer(CVE-2026-33825)、UnDefend(CVE-2026-45498)、RedSun(CVE-2026-41091) |
| 2026年5月 | 公开GreenPlasma(BitLocker)、YellowKey(CTFMON)零日;微软封禁其MSRC和GitHub账号 |
| 2026年5月中旬 | 微软悄悄修补mpengine!SysIO* API,阻断原版RoguePlanet的junction攻击 |
| 2026年5月底 | Nightmare Eclipse完成重写版RoguePlanet |
| 2026年6月8日 | 微软发布6月补丁Tuesday,修复GreenPlasma和YellowKey |
| 2026年6月9日 | Nightmare Eclipse注册MSNightmare账号,公开RoguePlanet PoC |
| 2026年6月9-10日 | vx-underground、The Hacker News、BleepingComputer、SecurityWeek等主流安全媒体报道 |
| 2026年6月10日 | 微软确认已知悉该漏洞,正在调查 |
| 2026年6月11日 | 华盟网首发中文深度分析 |
八、总结与威胁研判
RoguePlanet撕开了微软防御体系的又一裂缝。这位与微软彻底决裂的研究者,用行动证明了一件事:微软的月度补丁周期,永远慢半拍。
对红队而言,这个窗口期相当珍贵——在微软推出官方修复之前,任何能获得标准用户权限的场景,都可以尝试用RoguePlanet完成本地提权,一把拿到SYSTEM。
对防御者而言,好消息是当前PoC依赖竞态条件,成功率不稳定,且应用程序白名单能有效阻断。但BitLocker绕过这条暗线仍悬而未决,值得高度关注。
至于那个新的GitHub账号——社区已经在倒计时了。
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
暂无评论内容