Zranitelnost CVE-2026-50656 RoguePlanet
Společnost Microsoft oficiálně potvrdila nově odhalenou zranitelnost typu zero-day, známou jako RoguePlanet, která postihuje Microsoft Defender, a potvrdila, že v současné době vyvíjí bezpečnostní aktualizaci, která má tento problém vyřešit.
Chyba byla označena jako CVE-2026-50656 a má skóre závažnosti CVSS 7,8. Podle společnosti Microsoft je tato zranitelnost klasifikována jako slabina umožňující zvýšení oprávnění v rámci modulu ochrany proti malwaru Microsoft používaného programem Microsoft Defender.
Společnost Microsoft uvedla, že si je vědoma veřejně zveřejněného problému, který bezpečnostní experti nazvali RoguePlanet.
Obsah
Pochopení hrozby, která se skrývá za RoguePlanet
Toto odhalení navazuje na veřejné odhalení chyby RoguePlanet přibližně o týden dříve. Výzkumník zodpovědný za odhalení chyby ji popsal jako zranitelnost typu race condition, která je schopna útočníkům poskytnout přístup k příkazovému shellu s oprávněními na úrovni SYSTEM.
Protože zneužití závisí na soubojovém stavu (race condition), jeho úspěšnost se v jednotlivých systémech liší. Testování ukázalo, že některá zařízení lze napadnout s téměř dokonalou mírou úspěšnosti, zatímco jiná se jeví jako odolnější vůči zneužití.
Je pozoruhodné, že publikovaný Proof-of-Concept (PoC) funguje bez ohledu na to, zda je funkce ochrany v reálném čase v programu Microsoft Defender povolena nebo zakázána.
Rostoucí seznam bezpečnostních chyb Defenderu
RoguePlanet představuje čtvrtou zranitelnost v programu Microsoft Defender, kterou veřejně odhalili ti samí výzkumníci. Mezi předchozí zjištění patří:
BlueHammer (CVE-2026-33825)
UnDefend (CVE-2026-45498)
RedSun (CVE-2026-41091)
Všechny tři dříve odhalené zranitelnosti již byly společností Microsoft opraveny.
Potenciální dopad úspěšného využití
Pokud útok využívající RoguePlanet uspěje, útočník získá shell pracující s oprávněními na úrovni SYSTEM, což je jedna z nejvyšších úrovní oprávnění dostupných na systémech Windows. Takový přístup umožňuje útočníkům:
Spusťte libovolný kód.
Provádět neoprávněné akce v postiženém systému.
Zvýšená oprávnění výrazně zvyšují potenciální dopad úspěšného kompromitování.
Testováno na plně aktualizovaných systémech Windows
Bezpečnostní testování potvrdilo, že zneužití funguje na systémech Windows 10 i Windows 11, které již obdržely aktualizace Patch Tuesday z června 2026. To naznačuje, že plně aktualizované desktopové instalace zůstávají zranitelné, dokud společnost Microsoft nevydá specializovanou opravu.
Zranitelnost Windows Serveru vyžaduje jinou metodu zneužití
Ve své současné podobě exploit nefunguje v prostředí Windows Server, protože standardní uživatelé nemají povoleno připojovat ISO obrazy, což je požadavek stávající útočné techniky.
Toto omezení by však nemělo být interpretováno jako imunita. Výzkumníci zdůraznili, že instalace systému Windows Server jsou stále ovlivněny základní zranitelností. Před úspěšným zneužitím by bylo nutné exploit jednoduše přepracovat tak, aby zohledňoval omezení platformy.