近日,安全领域曝出一桩令人啼笑皆非的乌龙事件:微软原本试图修复Defender的一个安全漏洞,没想到补丁不仅未能堵住缺口,反而意外打开了新的攻击窗口,甚至可能导致用户硬盘被彻底撑爆。让我们回顾一下事件的来龙去脉。
上个月,微软确认了一个编号为CVE-2026-50656的零日漏洞,代号“RoguePlanet”。该漏洞利用了Defender恶意软件防护引擎(mpengine.dll)中的缺陷,攻击者可借此提升权限。微软迅速采取行动,上周紧急将引擎更新至1.1.26060.3008版本,并通过Defender常规安全智能更新自动推送给用户。最后一个受影响的版本为1.1.26050.11。
按照常理,补丁推送后问题应该得到解决。然而,安全研究员Nightmare-Eclipse在对更新后的引擎进行逆向分析时发现了新问题:微软新增的“纵深防御”改动,竟然引入了一个8字节的信息泄露缺陷。好消息是,目前这个泄露仅能从内核驱动程序层面观测到,普通用户模式无法触发,因此暂时被认为不可直接利用。当然,进一步的研究仍在进行中。
相比上述小缺陷,另一个问题更加令人头疼。为了防止存储空间被撑爆,Defender通常会对扫描和隔离的文件施加大小限制。然而,问题在于这些限制并不适用于缓存的Zone.Identifier备用数据流(ADS)。
攻击者的手法相当狡猾:他们可以搭建一个恶意SMB服务器,托管一个附带超大Zone.Identifier ADS的文件。接着,故意延迟特定的读取操作,同时保持SMB会话不中断。此时,Defender会像着了魔一样持续锁定这个缓存文件,迟迟不肯清理。结果就是磁盘占用空间不断膨胀,直至写满。用通俗的话说——你的硬盘就这样被活生生撑爆了。
这种被称为“DiskWipe”的攻击手法已在Windows 11 25H2和Windows Server 2025上成功复现。更令人担忧的是,研究人员正在调查是否可以通过WebDA V实现同样的攻击。如果可行,攻击者将彻底摆脱对SMB的依赖,直接通过互联网发起攻击,其影响范围将不可同日而语。

