A Microsoft javította a kritikus Defender zero-day sérülékenységet

Microsoft Defender zero-day javítás

A Microsoft biztonsági frissítést adott ki a Microsoft Defendert érintő, kiemelt figyelmet kapott zero-day sérülékenységhez, amely lehetővé tette a támadók számára, hogy jogosultságukat az NT AUTHORITY\SYSTEM szintre emeljék.

A CVE-2026-50656 azonosítójú, RoguePlanet néven ismert hiba a Microsoft Malware Protection Engine komponenst érinti. Ez a Microsoft Defender Antivirus és több más Microsoft biztonsági termék központi kártevő-ellenőrző motorja.

A sérülékenység több hétig nyilvánosan ismert és javítatlan maradt, miközben működő proof-of-concept exploitkód is elérhetővé vált az interneten.

A Microsoft végül nem várta meg a következő Patch Tuesday frissítést, hanem a Malware Protection Engine külön frissítésével javította a problémát.

A Microsoft Defender motorfrissítése lezárja a sérülékenységet

A hibát a Microsoft Malware Protection Engine 1.1.26060.3008 verziója javítja.

A frissítés közvetlenül a Defender biztonsági intelligencia- és motorfrissítési rendszerén keresztül érkezik. Emiatt a legtöbb megfelelően konfigurált Windows-rendszer automatikusan megkapja a javítást.

A frissítés telepítéséhez általában:

  • nincs szükség teljes operációsrendszer-frissítésre;
  • nem kell megvárni a havi Patch Tuesday csomagot;
  • a legtöbb esetben újraindítás sem szükséges.

A Microsoft arra kéri a szervezeteket és rendszergazdákat, hogy ellenőrizzék: minden végpont megkapta-e az új motort, és legalább az 1.1.26060.3008-as verzió fut-e rajta.

Mi az a RoguePlanet?

A RoguePlanet egy helyi jogosultságnövelési, vagyis local privilege escalation sérülékenység.

A hiba önmagában nem teszi lehetővé, hogy egy távoli támadó közvetlenül betörjön egy számítógépre. A kihasználásához a támadónak először valamilyen módon helyi kódfuttatást kell szereznie az érintett rendszeren.

Ez megtörténhet például:

  • phishingtámadással;
  • rosszindulatú melléklettel;
  • fertőzött letöltéssel;
  • böngészősérülékenység kihasználásával;
  • ellopott hitelesítő adatokkal;
  • másik szoftverhiba segítségével.

Ha a támadó már korlátozott jogosultságú hozzáféréssel rendelkezik, a RoguePlanet segítségével SYSTEM szintű jogosultságot szerezhet.

A Microsoft a hibát 7,8-as CVSS pontszámú, magas súlyosságú sérülékenységként értékelte.

Mit jelent a SYSTEM jogosultság?

Az NT AUTHORITY\SYSTEM a Windows egyik legmagasabb jogosultsági szintje.

Sikeres kihasználás után a támadó többek között képes lehet:

  • biztonsági szoftverek leállítására vagy módosítására;
  • tartós malware telepítésére;
  • új privilegizált felhasználói fiókok létrehozására;
  • hitelesítő adatok kinyerésére;
  • az LSASS folyamat adatainak megszerzésére;
  • védett registry-bejegyzések módosítására;
  • kernel driverek telepítésére;
  • hosszú távú perzisztencia kialakítására;
  • ransomware-támadás előkészítésére;
  • vállalati hálózaton belüli oldalirányú mozgásra.

A helyi jogosultságnövelési hibák ezért gyakran egy összetett támadási lánc második szakaszában kapnak szerepet.

Race condition okozta a hibát

A kutató által közzétett technikai elemzés szerint a RoguePlanet egy race condition, vagyis versenyhelyzeti hiba a Microsoft Malware Protection Engine működésében.

Race condition akkor alakulhat ki, amikor több folyamat vagy végrehajtási szál egyszerre próbál hozzáférni ugyanahhoz az erőforráshoz, miközben a program nem megfelelően kezeli a műveletek sorrendjét és szinkronizálását.

A támadó precíz időzítéssel olyan váratlan állapotot idézhet elő, amely megkerüli a tervezett jogosultsági korlátozásokat.

A sérülékenységet nyilvánosságra hozó Nightmare Eclipse szerint a kihasználás megbízhatósága rendszerenként eltérhet.

A sikerességet befolyásolhatja többek között:

  • a processzor teljesítménye;
  • a rendszer aktuális terhelése;
  • az operációs rendszer ütemezése;
  • a hardverkonfiguráció;
  • a végrehajtási időzítés.

A kutató szerint egyes gépeken a exploit kezdetben csak alkalmanként működött, míg optimalizálás után bizonyos rendszereken közel teljes megbízhatóságot lehetett elérni.

A valós idejű védelem kikapcsolása sem szüntette meg a hibát

A további vizsgálatok szerint a proof-of-concept akkor is működőképes maradhatott, ha a Microsoft Defender valós idejű védelme be- vagy kikapcsolt állapotban volt.

Ez arra utalt, hogy a sebezhető kódútvonal nem kizárólag a normál fájlellenőrzési vagy real-time scanning folyamatok során aktiválódott.

A probléma magában a Malware Protection Engine működésében volt jelen.

A nyilvános exploitkód növelte a vállalati kockázatot

A RoguePlanet körüli kockázatot jelentősen növelte, hogy a sérülékenységhez működő proof-of-concept exploitkód került nyilvánosságra.

Nightmare Eclipse saját tárhelyen tette közzé a demonstrációt, miután állítása szerint a korábbi GitHub- és GitLab-repositorykat eltávolították.

A nyilvánosan hozzáférhető exploitkód:

  • csökkenti a támadók technikai belépési küszöbét;
  • felgyorsítja a sérülékenység beépítését támadási eszközökbe;
  • megkönnyíti a ransomware-csoportok munkáját;
  • növeli a javítatlan rendszerekkel kapcsolatos kockázatot;
  • lehetővé teszi a már meglévő támadási láncok gyors bővítését.

Bár a hiba helyi hozzáférést igényel, egy kész exploit használata jelentősen egyszerűbb, mint a sérülékenység önálló elemzése és kihasználási módszerének kidolgozása.

Miért fontosak a helyi jogosultságnövelési hibák?

A local privilege escalation sérülékenységek gyakran kevesebb nyilvános figyelmet kapnak, mint a távoli kódfuttatási hibák, de a valós támadásokban rendkívül értékesek.

Egy tipikus vállalati támadás több szakaszból állhat:

  1. a támadó megszerzi egy alkalmazott fiókját;
  2. rosszindulatú kódot futtat a végponton;
  3. magasabb jogosultságot szerez;
  4. letiltja vagy megkerüli a biztonsági kontrollokat;
  5. hitelesítő adatokat gyűjt;
  6. továbbterjed más rendszerekre;
  7. adatokat lop vagy ransomware-t telepít.

A RoguePlanet a harmadik lépést gyorsíthatta fel, megszüntetve a normál felhasználói fiók korlátozásait.

Miért érzékeny különösen egy Defender-hiba?

A Microsoft Defender alapértelmezetten jelen van a modern Windows-rendszerek jelentős részén, és vállalati környezetben is széles körben alkalmazzák.

A biztonsági szoftverek rendszerint magas jogosultságokkal működnek, hogy:

  • fájlokat vizsgáljanak;
  • folyamatokat ellenőrizzenek;
  • rendszerterületekhez férjenek hozzá;
  • kártevőket távolítsanak el;
  • védelmi beállításokat érvényesítsenek.

Ha ilyen komponensben található jogosultságnövelési hiba, a támadó éppen azt a szoftvert használhatja fel rendszerátvételre, amelynek a kompromittálódást kellene megakadályoznia.

A motoralapú frissítés előnye

A Microsoft Defender architektúrájának egyik előnye, hogy a Malware Protection Engine a Windows operációs rendszer havi kumulatív frissítéseitől külön is frissíthető.

Ez lehetővé teszi, hogy a Microsoft:

  • gyorsabban reagáljon;
  • ne várjon a következő Patch Tuesday időpontjáig;
  • rövid idő alatt nagy számú eszközt javítson;
  • automatikusan terítse az új motort;
  • csökkentse a nyilvánosságra hozatal és a javítás közötti időszakot.

A 1.1.26060.3008-as motor automatikusan terjed a Defender Security Intelligence frissítési infrastruktúráján keresztül.

Hogyan ellenőrizhető a Defender motor verziója?

A rendszergazdák és felhasználók többféle módon ellenőrizhetik az aktuális verziót:

  • Windows Security alkalmazásban;
  • PowerShell használatával;
  • Microsoft Defender for Endpoint portálon;
  • Microsoft Intune rendszerben;
  • Microsoft Configuration Manager segítségével;
  • központi végpontmenedzsment megoldásokon keresztül.

A biztonságos verzió:

Microsoft Malware Protection Engine 1.1.26060.3008 vagy újabb.

A szigorúan elkülönített vagy internetkapcsolat nélküli rendszerek esetén a frissítést jóváhagyott offline csomagokon keresztül kell telepíteni.

Nightmare Eclipse több Microsoft zero-day hibát is nyilvánosságra hozott

A RoguePlanet nem az egyetlen, Nightmare Eclipse által közzétett Windows-sérülékenység.

A kutató az elmúlt hónapokban több Microsoft biztonsági technológiát érintő hibát is publikált, például:

  • GreenPlasma;
  • MiniPlasma;
  • YellowKey;
  • BlueHammer;
  • RedSun;
  • UnDefend.

A hibák közül több a Microsoft Defendert, mások pedig a BitLockert vagy a Windows alapvető biztonsági funkcióit érintették.

A GreenPlasma, a MiniPlasma és a YellowKey javítása a 2026. júniusi Patch Tuesday során érkezett meg, míg a RoguePlanet most, külön motorfrissítéssel kapott javítást.

Tovább folytatódik a nyilvánosságra hozatali vita

A RoguePlanet technikai problémája mellett komoly vita alakult ki a Microsoft és a kutató között a sérülékenységek kezeléséről.

Nightmare Eclipse többször bírálta:

  • a Microsoft bug bounty eljárását;
  • a kutatók elismerésének hiányát;
  • a bejelentések kezelését;
  • a javítási folyamat sebességét;
  • a koordinált közzétételi rendszer működését.

A kutató állítása szerint korábbi bejelentéseit nem megfelelően kezelték vagy jutalmazták, ami hozzájárult ahhoz, hogy egyes hibák részleteit és exploitkódját nyilvánosan tette közzé.

A Microsoft ezzel szemben következetesen arra figyelmeztet, hogy a javítás előtti exploitközzététel növeli az ügyfeleket érő kockázatot, és használatra kész támadási technikát adhat kiberbűnözők kezébe.

Jogi figyelmeztetések is vitát váltottak ki

A Microsoft korábban jogi következmények lehetőségére is figyelmeztetett olyan tevékenységekkel kapcsolatban, amelyek ügyfeleknek okozhatnak kárt.

Bár a vállalat nem nevezett meg konkrét kutatót, a nyilatkozat időzítése miatt a biztonsági közösség egy része úgy értelmezte, hogy az Nightmare Eclipse közzétételeire is vonatkozhatott.

Az ügy ismét előtérbe helyezte a teljes nyilvánosság és a koordinált sérülékenység-közzététel közötti régi vitát.

A koordinált közzététel támogatói szerint a gyártónak időt kell adni a javítás elkészítésére és terítésére.

A teljes nyilvánosság hívei szerint a publikus információ:

  • növeli a gyártói elszámoltathatóságot;
  • felgyorsíthatja a javítást;
  • tájékoztatja a veszélyeztetett felhasználókat;
  • megakadályozza a problémák elhallgatását.

A RoguePlanet jól példázza e két megközelítés közötti feszültséget.

Vállalati kockázatértékelés

A RoguePlanet nem közvetlen belépési pont, hanem post-compromise eszköz.

A támadónak először valamilyen más módszerrel kódot kell futtatnia a célrendszeren.

Ezután a sérülékenység segítségével teljes rendszerjogosultságot szerezhet, majd:

  • leállíthatja a Defender szolgáltatásait;
  • manipulálhatja a naplókat;
  • hitelesítő adatokat gyűjthet;
  • tartós hozzáférést alakíthat ki;
  • további rendszereket támadhat;
  • ransomware-t telepíthet;
  • érzékeny adatokat tulajdoníthat el.

A legnagyobb kockázatot azok a szervezetek jelentik, ahol a Defender motorfrissítések késleltetve, manuálisan vagy elkülönített hálózaton keresztül érkeznek.

Mit tegyenek a szervezetek?

A Microsoft Defendert használó szervezeteknek az alábbi intézkedések javasoltak:

  • ellenőrizzék minden végpont Malware Protection Engine verzióját;
  • telepítsék az 1.1.26060.3008-as vagy újabb motort;
  • győződjenek meg arról, hogy az automatikus biztonsági intelligencia-frissítések működnek;
  • frissítsék az offline vagy izolált rendszereket;
  • figyeljék a váratlan SYSTEM szintű folyamatokat;
  • keressék a gyanús Defender-szolgáltatásmódosításokat;
  • vizsgálják az ismeretlen PowerShell-futtatásokat;
  • ellenőrizzék a Defender letiltására irányuló próbálkozásokat;
  • kapcsolják be a tamper protection funkciót;
  • alkalmazzák a legkisebb jogosultság elvét;
  • használjanak EDR-megoldást;
  • tartsák naprakészen a Windows operációs rendszert is.

A kezdeti kompromittálódás elleni védelem továbbra is kulcsfontosságú

Mivel a RoguePlanet kihasználásához már meglévő helyi kódfuttatás szükséges, a szervezeteknek továbbra is kiemelten kell védekezniük az elsődleges behatolási módszerek ellen.

Ilyenek:

  • adathalász e-mailek;
  • rosszindulatú Office-dokumentumok;
  • fertőzött weboldalak;
  • böngészőkihasználások;
  • ellopott hitelesítő adatok;
  • nem javított internet-facing rendszerek;
  • rosszindulatú scriptek;
  • letöltött távoli hozzáférési eszközök.

Ha a támadó nem tud kezdeti hozzáférést szerezni, a helyi jogosultságnövelési sérülékenységet sem tudja kihasználni.

Tágabb kiberbiztonsági tanulságok

A RoguePlanet incidens több fontos iparági trendet is kiemel.

Elsőként azt, hogy maguk a biztonsági eszközök is magas értékű támadási felületet jelentenek.

Másodszor megmutatja a gyors, operációs rendszertől független frissítési mechanizmusok fontosságát.

Harmadszor rávilágít a szoftvergyártók és független biztonsági kutatók közötti együttműködés nehézségeire.

Ahogy a sérülékenységkutatás és az exploitfejlesztés egyre gyorsabbá válik, valószínűleg tovább nőnek majd a viták:

  • az elismerésről;
  • a bug bounty jutalmakról;
  • a javítási határidőkről;
  • az exploitkód nyilvánosságáról;
  • a platformok moderációjáról;
  • a jogi felelősségről.

Összegzés

A Microsoft a Malware Protection Engine 1.1.26060.3008-as verziójával javította a CVE-2026-50656 RoguePlanet sérülékenységet.

A hiba lehetővé tette, hogy egy már helyi kódfuttatással rendelkező támadó SYSTEM jogosultságot szerezzen, és ezzel teljes ellenőrzést vegyen át az érintett Windows-rendszer felett.

A proof-of-concept exploit nyilvános elérhetősége miatt a szervezeteknek haladéktalanul ellenőrizniük kell Defender motorverzióikat, és meg kell győződniük arról, hogy minden végpont megkapta a javítást.

Az oldal tartalma nem másolható!