Microsoft признала уязвимость RoguePlanet в Microsoft Defender и сообщила, что готовит исправление. SecurityWeek пишет, что проблема теперь отслеживается как CVE-2026-50656 с оценкой CVSS 7.8 и относится к elevation of privilege в Microsoft Malware Protection Engine. Уязвимость стала заметной после публичной публикации proof-of-concept исследователем Nightmare Eclipse, также известным как Chaotic Eclipse. В текущем виде PoC демонстрирует локальное повышение привилегий до уровня SYSTEM.

Технически RoguePlanet построен вокруг race condition в Microsoft Defender. По описанию SecurityWeek, публичный код способен запускать командную строку с системными правами на Windows 11 и Windows 10 даже при установленных июньских обновлениях 2026 года. Исследователь изначально указывал, что часть путей эксплуатации могла вести к remote code execution, но Microsoft в мае усилила Defender и закрыла некоторые варианты атаки. После этого PoC был переработан, чтобы обходить новые ограничения, хотя его работа остаётся не полностью стабильной.

Особенно неприятная деталь: Nightmare Eclipse заявил, что демонстрационный код работает независимо от того, включена или отключена real-time protection в Defender. По словам исследователя, сценарий может сработать даже в passive mode. SecurityWeek подчёркивает, что Microsoft пока не выпустила патч и обещает добавить информацию в CVE после готовности качественного обновления. До появления исправления организациям приходится снижать риск компенсирующими мерами, а не простым выключением конкретной функции.

RoguePlanet вписывается в более широкий конфликт вокруг раскрытия уязвимостей Microsoft. За последние месяцы Nightmare Eclipse публиковал несколько zero-day для продуктов компании, включая BlueHammer, RedSun и UnDefend; SecurityWeek отмечает, что часть этих проблем уже эксплуатировалась в реальных атаках, а Microsoft выпустила исправления. Поэтому новый PoC нельзя воспринимать как лабораторную редкость: даже если для эксплуатации нужен локальный доступ, такие баги полезны злоумышленникам после фишинга, компрометации учётной записи или доставки вредоносного файла.

Главный риск для бизнеса — переход от ограниченного пользовательского контекста к SYSTEM. Это может помочь отключать защитные агенты, закрепляться в системе, читать чужие файлы, вытаскивать секреты и разворачивать ransomware. Пока патч не доступен, администраторам стоит отслеживать advisory Microsoft, усиливать мониторинг запуска процессов с необычными привилегиями, проверять EDR-события вокруг Defender и ограничивать локальные права пользователей. После выхода обновления его нужно будет ставить быстро, потому что публичный PoC обычно сокращает время до массовой адаптации эксплойта.

Источник: SecurityWeek, 17 июня 2026