CVE-2026-50656 RoguePlanet-haavoittuvuus

Microsoft on virallisesti tunnustanut äskettäin paljastetun nollapäivähaavoittuvuuden, joka vaikuttaa Microsoft Defenderiin ja tunnetaan nimellä RoguePlanet, ja vahvistanut, että ongelman korjaamiseksi kehitetään parhaillaan tietoturvapäivitystä.

Haavoittuvuudelle on annettu CVE-2026-50656 ja sen CVSS-vakavuusluokitus on 7,8. Microsoftin mukaan haavoittuvuus luokitellaan Microsoft Defenderin käyttämän Microsoft Malware Protection Enginen oikeuksien laajentamiseen liittyväksi heikkoudeksi.

Microsoft ilmoitti olevansa tietoinen julkisesti paljastetusta ongelmasta, jonka tietoturvatutkijat ovat nimenneet RoguePlanetiksi.

RoguePlanetin taustalla olevan uhan ymmärtäminen

Paljastus seuraa noin viikkoa aiemmin julkistettua RoguePlanet-haavoittuvuutta. Haavoittuvuuden paljastanut tutkija kuvaili sitä kilpailutilanteen haavoittuvuudeksi, joka voi antaa hyökkääjille pääsyn SYSTEM-tason oikeuksilla toimivaan komentotulkkiin.

Koska hyökkäys perustuu kilpailutilanteeseen, sen onnistumisprosentti vaihtelee järjestelmien välillä. Testit ovat osoittaneet, että jotkut laitteet voidaan vaarantaa lähes täydellisellä onnistumisprosentilla, kun taas toiset osoittautuvat vastustuskykyisemmiksi hyökkäyksille.

Merkillepantavaa on, että julkaistu Proof-of-Concept (PoC) toimii riippumatta siitä, onko Microsoft Defenderin reaaliaikainen suojaustoiminto käytössä vai poistettu käytöstä.

Kasvava luettelo Defenderin tietoturvavirheistä

RoguePlanet on neljäs samojen tutkijoiden julkisesti paljastama Microsoft Defenderin haavoittuvuus. Aiempia havaintoja ovat:

BlueHammer (CVE-2026-33825)
UnDefend (CVE-2026-45498)
RedSun (CVE-2026-41091)

Microsoft on jo korjannut kaikki kolme aiemmin ilmoitettua haavoittuvuutta.

Onnistuneen hyödyntämisen mahdollinen vaikutus

Jos RoguePlanetia hyödyntävä hyökkäys onnistuu, hyökkääjä saa käyttöösi SYSTEM-tason käyttöoikeuksilla varustetun käyttöliittymän, joka on yksi Windows-järjestelmissä saatavilla olevista korkeimmista käyttöoikeustasoista. Tällainen käyttöoikeus antaa pahantahtoisille toimijoille mahdollisuuden:

Suorita mielivaltaista koodia.
Suorita luvattomia toimia kyseisessä järjestelmässä.

Laajennetut käyttöoikeudet lisäävät merkittävästi onnistuneen kompromissin potentiaalista vaikutusta.

Testattu täysin päivitettyjä Windows-järjestelmiä vastaan

Tietoturvatestaus vahvisti, että hyökkäys toimii sekä Windows 10- että Windows 11 -järjestelmissä, jotka on jo saanut kesäkuun 2026 tiistain korjauspäivitykset. Tämä viittaa siihen, että täysin päivitetyt työpöytäasennukset ovat edelleen haavoittuvia, kunnes Microsoft julkaisee erillisen korjauksen.

Windows Serverin altistuminen vaatii erilaisen hyödyntämismenetelmän

Nykymuodossaan hyökkäys ei toimi Windows Server -ympäristöissä, koska tavalliset käyttäjät eivät voi liittää ISO-levykuvia, mikä on nykyisen hyökkäystekniikan vaatimus.

Tätä rajoitusta ei kuitenkaan pidä tulkita immuniteettina. Tutkijat korostivat, että Windows Server -asennukset vaikuttavat edelleen haavoittuvuuteen. Hyökkäystapa on yksinkertaisesti suunniteltava uudelleen alustan rajoitusten mukaiseksi, ennen kuin onnistunut hyödyntäminen on mahdollista.