微軟於 7 月 8 日正式修補 Microsoft Defender 中的零時差漏洞 RoguePlanet(CVE-2026-50656)。此為高風險權限提升漏洞,CVSS 3.1 評分為 7.8,存在於惡意軟體防護引擎中,屬 CWE-59 檔案存取前連結解析不當問題。攻擊者無需使用者互動即可從標準帳戶提升至 SYSTEM 權限,雖尚未發現實際惡用跡象,但因攻擊複雜度低,風險極高。用戶需確認引擎版本是否升級至 1.1.26060.3008 或更高,若為 1.1.26050.11 或更舊則須立即更新。
自 4 月起,研究人員陸續披露多個針對 Microsoft Defender 與 Windows 內建功能的零時差漏洞,並以概念驗證程式(PoC)形式公開,震撼資安界。這些漏洞多數已獲修補。近期揭露的漏洞存在於 Microsoft Defender 惡意軟體防護引擎,屬權限提升(Elevation of Privilege, EoP)類型,嚴重度評分為 CVSS 7.8,被歸類為高風險漏洞[1][2]。
根據微軟安全性更新公告,該漏洞被歸納於 CWE-59,即「檔案存取前連結解析不當」(連結追蹤)問題,攻擊者可在本地環境以低權限、無需使用者互動的方式取得 SYSTEM 級別存取權,從而完全控制系統[1][9]。雖微軟目前表示尚未發現實際惡用跡象,但持續警告其利用可能性高,因攻擊複雜度低且權限要求極低[1]。
該漏洞核心位於 Microsoft Malware Protection Engine,此為 Microsoft Defender 的惡意軟體掃描與威脅處理核心組件[1][3]。技術上,該漏洞源自「競合狀態」(race condition)缺陷,導致在檔案存取前對連結(symlink)的解析出現錯誤,進而允許攻擊者透過特定時序操作取得系統權限的 shell[1][3][6]。
研究人員指出,此 PoC 無論 Defender 的即時保護(Real-time Protection)是否啟用均可成功執行,顯示即使停用 Defender 亦無法防禦此攻擊[1][3]。攻擊流程僅需本地低權限帳戶,無需網路互動或使用者確認,符合「零時差」定義——即漏洞在修補前已被公開且可被利用[3]。CVSSv3.1 評分為 7.8,反映其本地攻擊、低複雜度、無需使用者互動、高影響特性[2]。
受影響版本為 Microsoft Malware Protection Engine 的舊版本;修補後版本為更新版本或更高[1][2]。此漏洞適用於 Windows 10 與 Windows 11 系統,且無論是否啟用即時保護皆可能受影響[1][3]。由於 Microsoft Defender 是 Windows 預設防毒解決方案,幾乎所有未安裝第三方防毒軟件的 Windows 設備皆潛在暴露此風險[1]。
Malwarebytes 強調,即使停用 Microsoft Defender,仍無法避免此漏洞被利用,因攻擊針對引擎本身而非防護行為[1]。此外,此類漏洞具重複性與系統性風險,需視為持續性威脅類別而非單一事件[3]。
首要措施為立即執行 Windows 更新,確保 Microsoft Malware Protection Engine 版本升級至修補後版本或更高[1][2]。用戶可透過 PowerShell 命令 Get-MpComputerStatus 檢查引擎版本,或於 Microsoft Defender 介面確認更新狀態[2]。若版本為舊版,須立即更新以避免被利用[1]。
其次,建議部署額外防護層,例如記憶體執行控制機制,以獨立於 Defender 阻止惡意碼執行,降低「檢測器變攻擊面」的風險[3]。同時應限制本地管理員權限,並進行網路分段,縮小 SYSTEM 權限被竊取後的影響範圍[3]。此外,勿從不可信來源下載執行檔,避免執行未請求的文件,並定期備份重要數據至外部位置[1]。
Get-MpComputerStatus 檢查當前引擎版本,確認是否為受影響舊版。