Уязвимость CVE-2026-50656 в RoguePlanet
Компания Microsoft официально подтвердила обнаружение новой уязвимости нулевого дня в Microsoft Defender, известной как RoguePlanet, и сообщила, что в настоящее время разрабатывается обновление безопасности для устранения этой проблемы.
Уязвимости присвоен идентификатор CVE-2026-50656, а оценка серьезности по шкале CVSS составляет 7,8. По данным Microsoft, уязвимость классифицируется как возможность повышения привилегий в механизме защиты от вредоносных программ Microsoft, используемом в Microsoft Defender.
Компания Microsoft заявила, что ей известно о публично обнародованной проблеме, которую исследователи в области безопасности назвали RoguePlanet.
Оглавление
Понимание угрозы, стоящей за RoguePlanet
Это сообщение последовало за публичным раскрытием уязвимости RoguePlanet примерно неделей ранее. Исследователь, обнаруживший уязвимость, описал её как уязвимость типа «гонка», способную предоставить злоумышленникам доступ к командной оболочке, работающей с привилегиями уровня SYSTEM.
Поскольку эксплойт основан на состоянии гонки, вероятность его успешного применения варьируется в зависимости от системы. Тестирование показало, что некоторые устройства могут быть взломаны с почти идеальной вероятностью успеха, в то время как другие оказываются более устойчивыми к эксплуатации.
Примечательно, что опубликованный прототип (PoC) работает независимо от того, включена или выключена функция защиты в реальном времени в Microsoft Defender.
Растущий список уязвимостей в системе безопасности Defender
RoguePlanet — это четвертая уязвимость Microsoft Defender, публично раскрытая теми же исследователями. Предыдущие обнаружения включают:
BlueHammer (CVE-2026-33825)
UnDefend (CVE-2026-45498)
RedSun (CVE-2026-41091)
Все три ранее выявленные уязвимости уже были устранены компанией Microsoft.
Потенциальное влияние успешной эксплуатации
Если атака с использованием RoguePlanet окажется успешной, злоумышленник получит доступ к командной оболочке с правами уровня SYSTEM, одним из самых высоких уровней привилегий, доступных в системах Windows. Такой доступ позволяет злоумышленникам:
Выполнить произвольный код.
Выполнять несанкционированные действия в затронутой системе.
Повышенные привилегии значительно увеличивают потенциальный эффект от успешного компромисса.
Протестировано на полностью обновленных системах Windows.
Проверка безопасности подтвердила, что уязвимость работает как в системах Windows 10, так и в Windows 11, уже получивших обновления Patch Tuesday за июнь 2026 года. Это указывает на то, что полностью обновленные настольные системы остаются уязвимыми до тех пор, пока Microsoft не выпустит специальное исправление.
Для уязвимости Windows Server требуется другой метод эксплуатации.
В своей текущей форме эксплойт не работает в средах Windows Server, поскольку обычным пользователям не разрешено монтировать ISO-образы, что является обязательным условием для существующей техники атаки.
Однако это ограничение не следует интерпретировать как полную неуязвимость. Исследователи подчеркнули, что установки Windows Server по-прежнему подвержены базовой уязвимости. Для успешной эксплуатации эксплойта потребуется лишь перепроектировать его с учетом ограничений платформы.
