Vulnerabilitate RoguePlanet CVE-2026-50656
Microsoft a recunoscut oficial o vulnerabilitate zero-day recent dezvăluită care afectează Microsoft Defender, cunoscut sub numele de RoguePlanet, și a confirmat că o actualizare de securitate este în curs de dezvoltare pentru a rezolva problema.
Defecțiunea a fost clasificată ca CVE-2026-50656 și are un scor de severitate CVSS de 7,8. Potrivit Microsoft, vulnerabilitatea este clasificată drept o slăbiciune de tip „elevation-of-privilege” în cadrul motorului de protecție împotriva programelor malware Microsoft, utilizat de Microsoft Defender.
Microsoft a declarat că este conștientă de problema dezvăluită public, pe care cercetătorii în domeniul securității au numit-o RoguePlanet.
Cuprins
Înțelegerea amenințării din spatele RoguePlanet
Dezvăluirea vine după dezvăluirea publică a RoguePlanet, făcută cu aproximativ o săptămână în urmă. Cercetătorul responsabil pentru descoperirea defecțiunii a descris-o ca o vulnerabilitate de tip „concurency condition” capabilă să acorde atacatorilor acces la o shell de comandă care rulează cu privilegii la nivel de SYSTEM.
Deoarece exploatarea se bazează pe o condiție de concurență, rata sa de succes variază între sisteme. Testele au arătat că unele dispozitive pot fi compromise cu o rată de succes aproape perfectă, în timp ce altele se dovedesc mai rezistente la exploatare.
În special, dovada conceptului (PoC) publicată funcționează indiferent dacă funcția de protecție în timp real a Microsoft Defender este activată sau dezactivată.
O listă tot mai mare de defecte de securitate Defender
RoguePlanet reprezintă a patra vulnerabilitate Microsoft Defender dezvăluită public de aceiași cercetători. Printre descoperirile anterioare se numără:
BlueHammer (CVE-2026-33825)
Neapărat (CVE-2026-45498)
RedSun (CVE-2026-41091)
Toate cele trei vulnerabilități dezvăluite anterior au fost deja corectate de Microsoft.
Impactul potențial al exploatării cu succes
Dacă un atac care utilizează RoguePlanet are succes, atacatorul obține un shell care funcționează cu permisiuni la nivel de SYSTEM, unul dintre cele mai înalte niveluri de privilegii disponibile pe sistemele Windows. Un astfel de acces permite actorilor rău intenționați să:
Execută cod arbitrar.
Efectuați acțiuni neautorizate în sistemul afectat.
Privilegiile sporite cresc semnificativ impactul potențial al unui compromis reușit.
Testat pe sisteme Windows complet actualizate
Testele de securitate au confirmat că vulnerabilitatea funcționează atât pe sistemele Windows 10, cât și pe cele Windows 11 care au primit deja actualizările Patch Tuesday din iunie 2026. Aceasta indică faptul că instalările desktop complet actualizate rămân vulnerabile până când Microsoft lansează o soluție dedicată.
Expunerea la serverele Windows necesită o metodă de exploatare diferită
În forma sa actuală, exploit-ul nu funcționează în mediile Windows Server, deoarece utilizatorii standard nu au permisiunea de a monta imagini ISO, o cerință a tehnicii de atac existente.
Totuși, această limitare nu ar trebui interpretată ca imunitate. Cercetătorii au subliniat că instalările Windows Server sunt încă afectate de vulnerabilitatea subiacentă. Exploatarea ar trebui pur și simplu reproiectată pentru a se adapta restricțiilor platformei înainte ca exploatarea cu succes să devină posibilă.