CVE-2026-50656 RoguePlaneti haavatavus
Microsoft on ametlikult tunnistanud äsja avalikustatud nullpäeva haavatavust, mis mõjutab Microsoft Defenderit ja mida tuntakse RoguePlanetina, ning kinnitas, et probleemi lahendamiseks on praegu väljatöötamisel turvavärskendus.
Veale on määratud CVE-2026-50656 ja selle CVSS-i tõsidusskoor on 7,8. Microsofti sõnul liigitatakse haavatavus Microsoft Defenderi kasutatava Microsofti pahavara kaitsemootori õiguste laiendamise nõrkuseks.
Microsoft teatas, et on teadlik avalikult avaldatud probleemist, millele turvauurijad on pannud nimeks RoguePlanet.
Sisukord
RoguePlaneti taga peituva ohu mõistmine
Avalikustamine järgneb RoguePlaneti avalikule paljastusele umbes nädal varem. Vea avastanud uurija kirjeldas seda kui võidujooksu tingimuslikku haavatavust, mis suudab ründajatele anda juurdepääsu SYSTEM-taseme õigustega töötavale käskluskestale.
Kuna ärakasutamine tugineb võidujooksutingimusele, on selle edukuse määr süsteemide lõikes erinev. Testimine on näidanud, et mõnda seadet saab rünnata peaaegu täiusliku edukuse määraga, samas kui teised osutuvad ärakasutamisele vastupidavamaks.
Tähelepanuväärne on see, et avaldatud kontseptsioonitõend (PoC) toimib olenemata sellest, kas Microsoft Defenderi reaalajas kaitsefunktsioon on lubatud või keelatud.
Kasvav nimekiri Defenderi turvaveadest
RoguePlanet on neljas Microsoft Defenderi haavatavus, mille samad teadlased avalikustasid. Varasemad leiud hõlmavad järgmist:
BlueHammer (CVE-2026-33825)
UnDefend (CVE-2026-45498)
RedSun (CVE-2026-41091)
Kõik kolm varem avalikustatud haavatavust on Microsofti poolt juba parandatud.
Eduka ärakasutamise potentsiaalne mõju
Kui RoguePlanetit kasutav rünnak õnnestub, saab ründaja SÜSTEEMItaseme õigustega kesta, mis on üks Windowsi süsteemides saadaolevatest kõrgeimatest õigustest. Selline juurdepääs võimaldab pahatahtlikel osalejatel:
Käivita suvaline kood.
Tehke volitamata toiminguid kogu mõjutatud süsteemis.
Kõrgemad õigused suurendavad märkimisväärselt eduka kompromissi potentsiaalset mõju.
Testitud täielikult uuendatud Windowsi süsteemide vastu
Turvatestid kinnitasid, et see ärakasutamine toimib nii Windows 10 kui ka Windows 11 süsteemides, mis on juba saanud 2026. aasta juuni teisipäevased Patch Tuesday värskendused. See näitab, et täielikult värskendatud töölauainstallatsioonid jäävad haavatavaks kuni Microsofti spetsiaalse paranduse avaldamiseni.
Windows Serveri kokkupuude nõuab teistsugust ärakasutamismeetodit
Praegusel kujul see ärakasutamine Windows Serveri keskkondades ei tööta, kuna tavakasutajatel pole lubatud ISO-kujutisi ühendada, mis on olemasoleva rünnakutehnika nõue.
Seda piirangut ei tohiks siiski tõlgendada immuunsusena. Teadlased rõhutasid, et Windows Serveri installatsioonid mõjutavad endiselt algset haavatavust. Enne edukat ärakasutamist tuleks ärakasutamist lihtsalt platvormi piirangutega arvestades ümber kujundada.