CVE-2026-50656 „RoguePlanet“ pažeidžiamumas
„Microsoft“ oficialiai pripažino naujai atskleistą nulinės dienos pažeidžiamumą, paveikiantį „Microsoft Defender“, žinomą kaip „RoguePlanet“, ir patvirtino, kad šiuo metu kuriamas saugos naujinimas, skirtas šiai problemai išspręsti.
Šiam pažeidžiamumui priskirtas CVE-2026-50656 kodas, o CVSS pavojingumo balas – 7,8. „Microsoft“ teigimu, šis pažeidžiamumas priskiriamas prie privilegijų didinimo silpnybių „Microsoft Defender“ naudojamame „Microsoft“ kenkėjiškų programų apsaugos modulyje.
„Microsoft“ pareiškė, kad žino apie viešai atskleistą problemą, kurią saugumo tyrėjai pavadino „RoguePlanet“.
Turinys
„RoguePlanet“ grėsmės supratimas
Šis atskleidimas įvyko po maždaug savaite anksčiau paviešinto „RoguePlanet“ pažeidžiamumo atskleidimo. Tyrėjas, atskleidęs šį trūkumą, jį apibūdino kaip lenktynių sąlygos pažeidžiamumą, galintį suteikti užpuolikams prieigą prie komandų terminalo, veikiančio su SISTEMOS lygio teisėmis.
Kadangi ataka vyksta lenktynių sąlygomis, jos sėkmės rodiklis skirtingose sistemose skiriasi. Testai parodė, kad kai kuriuos įrenginius galima pažeisti beveik idealiai sėkmingai, o kiti yra atsparesni atakoms.
Pažymėtina, kad paskelbtas koncepcijos įrodymas (PoC) veikia nepriklausomai nuo to, ar „Microsoft Defender“ apsaugos realiuoju laiku funkcija įjungta, ar išjungta.
Augantis „Defender“ saugumo trūkumų sąrašas
„RoguePlanet“ yra ketvirtoji „Microsoft Defender“ pažeidžiamumas, kurį viešai atskleidė tie patys tyrėjai. Ankstesni rezultatai:
„BlueHammer“ (CVE-2026-33825)
„UnDefend“ (CVE-2026-45498)
„RedSun“ (CVE-2026-41091)
Visus tris anksčiau atskleistus pažeidžiamumus „Microsoft“ jau ištaisė.
Galimas sėkmingo išnaudojimo poveikis
Jei ataka, naudojant „RoguePlanet“, pavyksta, užpuolikas gauna apvalkalą, veikiantį su SISTEMOS lygio teisėmis – vienu aukščiausių privilegijų lygių, galimų „Windows“ sistemose. Tokia prieiga leidžia kenkėjiškiems veikėjams:
Vykdyti savavališką kodą.
Atlikti neleistinus veiksmus paveiktoje sistemoje.
Padidintos privilegijos žymiai padidina sėkmingo kompromiso potencialų poveikį.
Testuota su visiškai atnaujintomis „Windows“ sistemomis
Saugumo testavimas patvirtino, kad ši spraga veikia tiek „Windows 10“, tiek „Windows 11“ sistemose, kurios jau gavo 2026 m. birželio mėn. antradienio pataisų atnaujinimus. Tai rodo, kad visiškai atnaujintos darbalaukio versijos lieka pažeidžiamos, kol „Microsoft“ išleis specialų pataisymą.
„Windows Server“ atakai reikalingas kitoks išnaudojimo metodas
Dabartine forma ši spraga neveikia „Windows Server“ aplinkose, nes standartiniams vartotojams neleidžiama prijungti ISO atvaizdų, o tai yra esamos atakos technikos reikalavimas.
Tačiau šis apribojimas neturėtų būti interpretuojamas kaip imunitetas. Tyrėjai pabrėžė, kad „Windows Server“ diegimus vis dar veikia pagrindinė pažeidžiamumo sritis. Norint sėkmingai išnaudoti pažeidžiamumą, jį tereikėtų pertvarkyti, kad jis atitiktų platformos apribojimus.