CVE-2026-50656 Luka w zabezpieczeniach RoguePlanet
Firma Microsoft oficjalnie potwierdziła istnienie nowej luki typu zero-day, która dotyczy programu Microsoft Defender, znanej jako RoguePlanet, i potwierdziła, że obecnie trwają prace nad aktualizacją zabezpieczeń, która ma rozwiązać ten problem.
Luka została oznaczona numerem CVE-2026-50656 i ma ocenę ważności CVSS 7,8. Według Microsoftu, luka jest klasyfikowana jako luka umożliwiająca podniesienie uprawnień w mechanizmie ochrony przed złośliwym oprogramowaniem firmy Microsoft używanym przez program Microsoft Defender.
Firma Microsoft oświadczyła, że jest świadoma publicznie ujawnionego problemu, któremu badacze ds. bezpieczeństwa nadali nazwę RoguePlanet.
Spis treści
Zrozumienie zagrożenia stojącego za RoguePlanet
Ujawnienie jest następstwem publicznego ujawnienia RoguePlanet około tydzień wcześniej. Badacz odpowiedzialny za odkrycie luki opisał ją jako lukę w zabezpieczeniach typu race condition, która umożliwia atakującym dostęp do powłoki poleceń działającej z uprawnieniami na poziomie SYSTEM.
Ponieważ exploit opiera się na wyścigu warunków, jego skuteczność różni się w zależności od systemu. Testy wykazały, że niektóre urządzenia można zhakować z niemal idealnym wskaźnikiem skuteczności, podczas gdy inne okazują się bardziej odporne na atak.
Warto zauważyć, że opublikowany Proof-of-Concept (PoC) działa niezależnie od tego, czy funkcja ochrony w czasie rzeczywistym programu Microsoft Defender jest włączona czy wyłączona.
Rosnąca lista luk w zabezpieczeniach programu Defender
RoguePlanet to czwarta luka w zabezpieczeniach Microsoft Defender ujawniona publicznie przez tych samych badaczy. Poprzednie ustalenia obejmują:
BlueHammer (CVE-2026-33825)
UnDefend (CVE-2026-45498)
RedSun (CVE-2026-41091)
Wszystkie trzy wcześniej ujawnione luki zostały już załatane przez firmę Microsoft.
Potencjalny wpływ udanej eksploatacji
Jeśli atak wykorzystujący RoguePlanet zakończy się sukcesem, atakujący uzyska dostęp do powłoki z uprawnieniami na poziomie SYSTEM, jednym z najwyższych poziomów uprawnień dostępnych w systemach Windows. Taki dostęp umożliwia atakującym:
Wykonaj dowolny kod.
Wykonywanie nieautoryzowanych działań w obrębie zainfekowanego systemu.
Podwyższone uprawnienia znacznie zwiększają potencjalny wpływ udanego włamania.
Przetestowano na w pełni zaktualizowanych systemach Windows
Testy bezpieczeństwa potwierdziły, że exploit działa zarówno w systemach Windows 10, jak i Windows 11, które otrzymały już aktualizacje z wtorku łatek (Patch Tuesday) z czerwca 2026 roku. Oznacza to, że w pełni zaktualizowane instalacje na komputerach stacjonarnych pozostają podatne na atak, dopóki firma Microsoft nie wyda dedykowanej poprawki.
Narażenie systemu Windows Server wymaga innej metody eksploatacji
W obecnej formie exploit ten nie działa w środowiskach Windows Server, ponieważ zwykli użytkownicy nie mają uprawnień do montowania obrazów ISO, co jest wymogiem współczesnej techniki ataku.
Jednak tego ograniczenia nie należy interpretować jako odporności. Badacze podkreślili, że instalacje Windows Server nadal są podatne na tę lukę. Aby możliwe było skuteczne wykorzystanie luki, wystarczy przeprojektować exploita, aby uwzględnić ograniczenia platformy.
