补丁引发新危机
微软于近期发布的更新, 其本来的意图是要去修复高危提权漏洞CVE – 2026 – 50656。可是呢, 安全专家经过逆向分析之后发现, 新的引擎版本1.1.26060.3008却反倒引入了更加隐蔽的风险。此次更新对所有受影响的旧版本都进行了覆盖, 用户通常是在没有什么感觉的情况下就完成了安装。
信息泄露隐患
探寻研究的人员, 于代码当中寻觅到了一个有着八个字节的信息泄露方面的缺陷。尽管当下仅仅能够在内核驱动的层面之上观察得到, 而在用户态这里尚且没办法使它触发。这便意味着, 平常的用户暂时是不会直接遭遇此问题而受影响, 不过, 安全团队依旧在深入地挖掘它潜在的能够被利用的价值。任何处于内核级别的数据向外泄露的情况哪能不被重视。
缓存机制缺陷
核心之处在于, Windows对于Zone标识符备用数据流存在限制缺失的状况。一般而言, 系统会针对扫描文件设定大小的上限, 以此来避免存储出现爆炸的情况。然而, 这个保护伞并未覆盖到缓存当中的特殊数据流。攻击者恰恰是抓住了这个监管方面的盲区, 进而实施了精准的打击策略。
SMB攻击手段
有攻击者搭建了恶意的SMB服务器, 在该服务器上托管了带有超大Zone ADS的文件, 为制造影响, 攻击者通过故意延迟读取操作, 致使SMB会话长时间处于挂起状态, 利用此手段, 能使文件持续被锁定在缓存当中, 并且系统不会自动进行清理, 那些看似正常的连接请求, 实际上却是磁盘空间的杀手。
磁盘空间耗尽
因缓存文件持续堆积且未进行释放, 致使磁盘写入量迅猛上升, 仅需经过几次简单的交互操作, 便能够快速将目标硬盘空间占满, 经实验表明该现象于Windows 11 25H2以及Server 2025上均可重现, 此拒绝服务攻击并不需要复杂的权限, 其效果能够即刻显现。
当前, 此项技术对SMB协议有所依赖着。然而, 专家正在针对利用HTTP达成的可能性展开测试。一旦成功, 攻击就不会仅仅局限于局域网, 能够直接借助互联网来发起。如此一来, 会极大地扩充攻击的范围, 致使全球数百万台处于联网状态的设备面临着毫无区分的轰炸风险, 必须要予以高度的警惕。
你觉得微软下次会如何修补这个缓存逻辑漏洞?欢迎留言讨论。