CVE-2026-50656 RoguePlanet-sårbarhet
Microsoft har offisielt bekreftet et nylig avslørt nulldagssårbarhet som påvirker Microsoft Defender, kjent som RoguePlanet, og bekreftet at en sikkerhetsoppdatering for tiden er under utvikling for å løse problemet.
Feilen har blitt tildelt CVE-2026-50656 og har en CVSS-alvorlighetsgrad på 7,8. Ifølge Microsoft er sårbarheten klassifisert som en rettighetsutvidelsessvakhet i Microsoft Malware Protection Engine som brukes av Microsoft Defender.
Microsoft uttalte at de er klar over det offentlig avslørte problemet, som sikkerhetsforskere har kalt RoguePlanet.
Innholdsfortegnelse
Forstå trusselen bak RoguePlanet
Avsløringen kommer etter den offentlige avsløringen av RoguePlanet omtrent en uke tidligere. Forskeren som var ansvarlig for å avdekke feilen beskrev den som en kappløpstilstandssårbarhet som kan gi angripere tilgang til et kommandoskall som kjører med SYSTEM-nivårettigheter.
Fordi utnyttelsen er avhengig av en kappløpstilstand, varierer suksessraten mellom systemer. Testing har vist at noen enheter kan bli kompromittert med en nesten perfekt suksessrate, mens andre viser seg å være mer motstandsdyktige mot utnyttelse.
Det er verdt å merke seg at den publiserte konseptutprøvingen (PoC) fungerer uavhengig av om Microsoft Defenders sanntidsbeskyttelsesfunksjon er aktivert eller deaktivert.
En voksende liste over sikkerhetsfeil hos Defender
RoguePlanet representerer det fjerde sikkerhetsproblemet i Microsoft Defender som er offentliggjort av de samme forskerne. Tidligere funn inkluderer:
BlueHammer (CVE-2026-33825)
Avforsvar (CVE-2026-45498)
RedSun (CVE-2026-41091)
Alle de tre tidligere avslørte sårbarhetene har allerede blitt oppdatert av Microsoft.
Potensiell innvirkning av vellykket utnyttelse
Hvis et angrep som utnytter RoguePlanet lykkes, får angriperen et skall som opererer med SYSTEM-nivåtillatelser, et av de høyeste privilegienivåene som er tilgjengelige på Windows-systemer. Slik tilgang gjør det mulig for ondsinnede aktører å:
Kjør vilkårlig kode.
Utfør uautoriserte handlinger på tvers av det berørte systemet.
De økte privilegiene øker den potensielle effekten av et vellykket kompromiss betydelig.
Testet mot fullstendig oppdaterte Windows-systemer
Sikkerhetstesting bekreftet at utnyttelsen fungerer på både Windows 10- og Windows 11-systemer som allerede har mottatt Patch Tuesday-oppdateringene fra juni 2026. Dette indikerer at fullstendig oppdaterte skrivebordsinstallasjoner fortsatt er sårbare inntil Microsoft lanserer en dedikert løsning.
Eksponering for Windows Server krever en annen utnyttelsesmetode
I sin nåværende form fungerer ikke angrepet på Windows Server-miljøer fordi standardbrukere ikke har tillatelse til å montere ISO-bilder, et krav i den eksisterende angrepsteknikken.
Denne begrensningen bør imidlertid ikke tolkes som immunitet. Forskere understreket at Windows Server-installasjoner fortsatt er påvirket av den underliggende sårbarheten. Utnyttelsen må ganske enkelt redesignes for å imøtekomme plattformens begrensninger før vellykket utnyttelse blir mulig.