Defender RoguePlanet 修補已出:公司機要查 engine 版本
Tech News

Defender RoguePlanet 修補已出:公司機要查 engine 版本

圖片:via iThome — https://www.ithome.com.tw/news/177237
TechLab 編輯部(譯)·

低過 1.1.26060.3008 嘅 Defender engine 就要處理

修補喺 engine 入面

iThome 報道指,Microsoft 喺 7 月 8 日更新 RoguePlanet(CVE-2026-50656)公告,正式交代 Defender 修補版本。官方 MSRC 資料顯示,呢個洞喺 Microsoft Malware Protection Engine 入面,最後受影響版本係 1.1.26050.11,第一個修好版本係 1.1.26060.3008。講人話,即係你部 Windows 未必等到完整 Patch Tuesday 先算安全,Defender engine 自己有一條更新線,版本對唔對先係重點。

風險要擺啱位置

MSRC 對呢單畀 Important 等級,CVSS 3.1 係 7.8,類型係本機提權。攻擊者要先攞到低權限本機帳戶,但唔使等用家撳確認,攻擊複雜度亦低;成功之後,最壞情況可以攞到 SYSTEM 級權限。NVD 亦記低呢個洞係 CWE-59,關乎檔案存取前嘅 link following 處理。呢啲字眼聽落嚇人,但範圍要講清楚:呢個唔係網上遠端一掃就入嘅洞,而 Microsoft 暫時標示未見客戶環境俾人利用。公開 PoC 已有,所以 IT 唔應該拖,但亦唔使講到好似已經大規模爆發。

點查有冇升到位

個人機最快係開 Windows Security,入 Virus & threat protection,再去 Protection updatesCheck for updates。想直接睇 engine,開 PowerShell 跑 Get-MpComputerStatus | Select-Object AMEngineVersion;見到 1.1.26060.3008 或以上就算到位。仲停喺 1.1.26050.11,或者任何低過修補版本嘅 build,就即刻跑 Windows Update;PowerShell 入面亦可以用 Update-MpSignature 觸發 Defender 更新。公司環境就唔好淨係叫同事自己撳,WSUS、ConfigMgr、Intune 或其他 endpoint 管理工具要確認 KB2267602 類 security intelligence update 真係派晒出去。

公司 IT 要留意掃描器假象

MSRC FAQ 有個幾實際嘅位:有啲 vulnerability scanner 只係睇磁碟上有冇舊版 Defender binary,所以就算 Microsoft Defender 已 disable,都可能照報中招;Microsoft 話呢類 disabled 狀態本身唔算可利用。不過呢句唔代表可以放低,因為好多公司有 golden image、長期離線 notebook、倉底 Windows Server,或者第三方防毒移除後 Defender 重新接手。呢啲機一旦返上網,舊 engine 就會變成你更新流程入面最易甩漏嘅一格。

TechLab 睇法

今次 RoguePlanet 最值得記住嘅地方,係 Defender 背後個 engine 其實跟住 security intelligence update 走,更新節奏同 Windows 累積更新唔完全一樣。喺香港好多小公司同普通辦公室,Defender 就係第一層 endpoint 保護;呢類洞未必即刻變成你今日中招,但版本管理甩咗,下一次就可能冇咁好彩。普通用家查一次 AMEngineVersion,公司 IT 抽查 endpoint 報表同離線機,呢單先算處理得乾淨。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook