研究人員揭露新的Microsoft Defender零時差漏洞RoguePlanet

根據資安新聞網站Bleeping Computer報導，Chaotic Eclipse在微軟發布本月例行更新數個小時之後，公開名為RoguePlanet的Microsoft Defender零時差漏洞，並表示該弱點涉及競爭條件（Race Condition），他在部分電腦幾乎100%成功，但有些電腦卻出現難以利用的情形。此漏洞可在已套用今年6月修補程式的Windows 11與Windows 10利用，但他的概念驗證程式碼無法直接在伺服器版作業系統使用，原因是一般使用者無法掛載ISO映像檔，不能達成漏洞利用的必要條件。不過，研究員強調，所有版本的Windows Server也存在相同漏洞。一旦成功利用，將能導致系統生成SYSTEM層級的Shell。

該名研究員也發布部落格文章透露其他細節，此為遠端程式碼執行漏洞，攻擊者利用的條件是需要引誘使用者在遠端的SMB伺服器開啟VHD或VHDX虛擬磁碟檔，成功利用漏洞後，Microsoft Defender就會覆寫該防毒軟體相關的檔案，導致遠端程式碼執行。另一種觸發RoguePlanet的結果，是造成繞過BitLocker，攻擊者必須在防毒軟體讀取特定檔案的過程裡，推送不同的資料給NTFS.sys。

資安公司ThreatLocker向Bleeping Computer透露該漏洞確實有效，該公司在已完全修補且安裝KB5094126的Windows 11成功觸發RoguePlanet，並表示企業組織若是採用應用程式白名單機制，就有機會阻止攻擊者利用漏洞。多次驗證該名研究員零時差漏洞的Tharros首席漏洞分析師Will Dormann認為，此漏洞可遠端利用，本機攻擊者可取得SYSTEM權限，不過，微軟似乎在研究員公布前已完成修補。