Вразливість CVE-2026-50656 RoguePlanet
Microsoft офіційно підтвердила нещодавно виявлену вразливість нульового дня, відому як RoguePlanet, яка впливає на Microsoft Defender, і підтвердила, що наразі розробляється оновлення безпеки для вирішення цієї проблеми.
Уразливості було присвоєно код CVE-2026-50656, а її оцінка за шкалою CVSS становить 7,8. За даними Microsoft, ця вразливість класифікується як слабкість, що вимагає підвищення привілеїв, у механізмі захисту від шкідливих програм Microsoft, що використовується Microsoft Defender.
Microsoft заявила, що їй відомо про публічно розкриту проблему, яку дослідники з безпеки назвали RoguePlanet.
Зміст
Розуміння загрози, що стоїть за RoguePlanet
Це розкриття інформації відбулося після публічного викриття RoguePlanet приблизно тижнем раніше. Дослідник, відповідальний за виявлення уразливості, описав її як вразливість, що призводить до перегонів, що здатна надати зловмисникам доступ до командної оболонки, що працює з привілеями рівня SYSTEM.
Оскільки експлойт залежить від умов гонки, його рівень успішності варіюється залежно від системи. Тестування показало, що деякі пристрої можуть бути скомпрометовані майже з ідеальним рівнем успішності, тоді як інші виявляються більш стійкими до експлойтів.
Примітно, що опублікований Proof-of-Concept (PoC) функціонує незалежно від того, чи ввімкнено функцію захисту в реальному часі Microsoft Defender, чи вимкнено.
Зростаючий список недоліків безпеки Defender
RoguePlanet є четвертою вразливістю Microsoft Defender, публічно розкритою тими ж дослідниками. Попередні висновки включають:
BlueHammer (CVE-2026-33825)
Незахищений (CVE-2026-45498)
Червоне Сонце (CVE-2026-41091)
Усі три раніше виявлені вразливості вже були виправлені компанією Microsoft.
Потенційний вплив успішної експлуатації
Якщо атака з використанням RoguePlanet вдається, зловмисник отримує оболонку, що працює з правами рівня SYSTEM, одним із найвищих рівнів привілеїв, доступних у системах Windows. Такий доступ дозволяє зловмисникам:
Виконати довільний код.
Виконувати несанкціоновані дії в ураженій системі.
Підвищені привілеї значно збільшують потенційний вплив успішного компрометування.
Протестовано на повністю оновлених системах Windows
Тестування безпеки підтвердило, що експлойт працює як на системах Windows 10, так і на Windows 11, які вже отримали оновлення Patch Tuesday за червень 2026 року. Це вказує на те, що повністю оновлені інсталяції настільних комп’ютерів залишаються вразливими, доки Microsoft не випустить спеціальне виправлення.
Вразливість Windows Server вимагає іншого методу експлуатації
У своєму поточному вигляді експлойт не працює в середовищах Windows Server, оскільки звичайним користувачам заборонено монтувати ISO-образи, що є вимогою існуючої методики атаки.
Однак це обмеження не слід тлумачити як імунітет. Дослідники наголосили, що інсталяції Windows Server все ще зазнають впливу основної вразливості. Експлойт просто потрібно буде переробити, щоб врахувати обмеження платформи, перш ніж успішна експлуатація стане можливою.