CVE-2026-50656 RoguePlanet-sårbarhed
Microsoft har officielt anerkendt en nyligt afsløret zero-day-sårbarhed, kendt som RoguePlanet, der påvirker Microsoft Defender, og bekræftet, at en sikkerhedsopdatering i øjeblikket er under udvikling for at løse problemet.
Fejlen er blevet tildelt CVE-2026-50656 og har en CVSS-sværhedsgrad på 7,8. Ifølge Microsoft er sårbarheden klassificeret som en svaghed i forbindelse med udvidelse af rettigheder i Microsoft Malware Protection Engine, der bruges af Microsoft Defender.
Microsoft udtalte, at de er opmærksomme på det offentligt afslørede problem, som sikkerhedsforskere har døbt RoguePlanet.
Indholdsfortegnelse
Forstå truslen bag RoguePlanet
Afsløringen følger den offentlige afsløring af RoguePlanet cirka en uge tidligere. Forskeren, der var ansvarlig for at afdække fejlen, beskrev den som en race condition-sårbarhed, der er i stand til at give angribere adgang til en kommandoshell, der kører med SYSTEM-niveaurettigheder.
Da udnyttelsen er afhængig af en race condition, varierer succesraten mellem systemer. Test har vist, at nogle enheder kan kompromitteres med en næsten perfekt succesrate, mens andre viser sig at være mere modstandsdygtige over for udnyttelse.
Det er værd at bemærke, at den offentliggjorte Proof-of-Concept (PoC) fungerer uanset om Microsoft Defenders realtidsbeskyttelsesfunktion er aktiveret eller deaktiveret.
En voksende liste over sikkerhedsbrister hos Defender
RoguePlanet repræsenterer den fjerde Microsoft Defender-sårbarhed, der er offentliggjort af de samme forskere. Tidligere fund inkluderer:
BlueHammer (CVE-2026-33825)
Afforsvar (CVE-2026-45498)
RedSun (CVE-2026-41091)
Alle tre tidligere afslørede sårbarheder er allerede blevet rettet af Microsoft.
Potentiel indvirkning af vellykket udnyttelse
Hvis et angreb, der udnytter RoguePlanet, lykkes, får angriberen en shell, der opererer med SYSTEM-niveautilladelser, et af de højeste privilegieniveauer, der er tilgængelige på Windows-systemer. En sådan adgang gør det muligt for ondsindede aktører at:
Udfør vilkårlig kode.
Udfør uautoriserede handlinger på tværs af det berørte system.
De øgede privilegier øger den potentielle effekt af et vellykket kompromis betydeligt.
Testet mod fuldt opdaterede Windows-systemer
Sikkerhedstest bekræftede, at angrebet virker på både Windows 10- og Windows 11-systemer, der allerede har modtaget Patch Tuesday-opdateringerne fra juni 2026. Dette indikerer, at fuldt opdaterede desktopinstallationer forbliver sårbare, indtil Microsoft udgiver en dedikeret rettelse.
Eksponering for Windows Server kræver en anden udnyttelsesmetode
I sin nuværende form fungerer angrebet ikke på Windows Server-miljøer, fordi standardbrugere ikke har tilladelse til at montere ISO-billeder, hvilket er et krav i den eksisterende angrebsteknik.
Denne begrænsning bør dog ikke fortolkes som immunitet. Forskerne understregede, at Windows Server-installationer stadig er påvirket af den underliggende sårbarhed. Udnyttelsen skal blot redesignes for at imødekomme platformens begrænsninger, før en vellykket udnyttelse bliver mulig.
