A Microsoft biztonsági frissítést adott ki a Microsoft Defendert érintő, kiemelt figyelmet kapott zero-day sérülékenységhez, amely lehetővé tette a támadók számára, hogy jogosultságukat az NT AUTHORITY\SYSTEM szintre emeljék.
A CVE-2026-50656 azonosítójú, RoguePlanet néven ismert hiba a Microsoft Malware Protection Engine komponenst érinti. Ez a Microsoft Defender Antivirus és több más Microsoft biztonsági termék központi kártevő-ellenőrző motorja.
A sérülékenység több hétig nyilvánosan ismert és javítatlan maradt, miközben működő proof-of-concept exploitkód is elérhetővé vált az interneten.
A Microsoft végül nem várta meg a következő Patch Tuesday frissítést, hanem a Malware Protection Engine külön frissítésével javította a problémát.
A Microsoft Defender motorfrissítése lezárja a sérülékenységet
A hibát a Microsoft Malware Protection Engine 1.1.26060.3008 verziója javítja.
A frissítés közvetlenül a Defender biztonsági intelligencia- és motorfrissítési rendszerén keresztül érkezik. Emiatt a legtöbb megfelelően konfigurált Windows-rendszer automatikusan megkapja a javítást.
A frissítés telepítéséhez általában:
- nincs szükség teljes operációsrendszer-frissítésre;
- nem kell megvárni a havi Patch Tuesday csomagot;
- a legtöbb esetben újraindítás sem szükséges.
A Microsoft arra kéri a szervezeteket és rendszergazdákat, hogy ellenőrizzék: minden végpont megkapta-e az új motort, és legalább az 1.1.26060.3008-as verzió fut-e rajta.
Mi az a RoguePlanet?
A RoguePlanet egy helyi jogosultságnövelési, vagyis local privilege escalation sérülékenység.
A hiba önmagában nem teszi lehetővé, hogy egy távoli támadó közvetlenül betörjön egy számítógépre. A kihasználásához a támadónak először valamilyen módon helyi kódfuttatást kell szereznie az érintett rendszeren.
Ez megtörténhet például:
- phishingtámadással;
- rosszindulatú melléklettel;
- fertőzött letöltéssel;
- böngészősérülékenység kihasználásával;
- ellopott hitelesítő adatokkal;
- másik szoftverhiba segítségével.
Ha a támadó már korlátozott jogosultságú hozzáféréssel rendelkezik, a RoguePlanet segítségével SYSTEM szintű jogosultságot szerezhet.
A Microsoft a hibát 7,8-as CVSS pontszámú, magas súlyosságú sérülékenységként értékelte.
Mit jelent a SYSTEM jogosultság?
Az NT AUTHORITY\SYSTEM a Windows egyik legmagasabb jogosultsági szintje.
Sikeres kihasználás után a támadó többek között képes lehet:
- biztonsági szoftverek leállítására vagy módosítására;
- tartós malware telepítésére;
- új privilegizált felhasználói fiókok létrehozására;
- hitelesítő adatok kinyerésére;
- az LSASS folyamat adatainak megszerzésére;
- védett registry-bejegyzések módosítására;
- kernel driverek telepítésére;
- hosszú távú perzisztencia kialakítására;
- ransomware-támadás előkészítésére;
- vállalati hálózaton belüli oldalirányú mozgásra.
A helyi jogosultságnövelési hibák ezért gyakran egy összetett támadási lánc második szakaszában kapnak szerepet.
Race condition okozta a hibát
A kutató által közzétett technikai elemzés szerint a RoguePlanet egy race condition, vagyis versenyhelyzeti hiba a Microsoft Malware Protection Engine működésében.
Race condition akkor alakulhat ki, amikor több folyamat vagy végrehajtási szál egyszerre próbál hozzáférni ugyanahhoz az erőforráshoz, miközben a program nem megfelelően kezeli a műveletek sorrendjét és szinkronizálását.
A támadó precíz időzítéssel olyan váratlan állapotot idézhet elő, amely megkerüli a tervezett jogosultsági korlátozásokat.
A sérülékenységet nyilvánosságra hozó Nightmare Eclipse szerint a kihasználás megbízhatósága rendszerenként eltérhet.
A sikerességet befolyásolhatja többek között:
- a processzor teljesítménye;
- a rendszer aktuális terhelése;
- az operációs rendszer ütemezése;
- a hardverkonfiguráció;
- a végrehajtási időzítés.
A kutató szerint egyes gépeken a exploit kezdetben csak alkalmanként működött, míg optimalizálás után bizonyos rendszereken közel teljes megbízhatóságot lehetett elérni.
A valós idejű védelem kikapcsolása sem szüntette meg a hibát
A további vizsgálatok szerint a proof-of-concept akkor is működőképes maradhatott, ha a Microsoft Defender valós idejű védelme be- vagy kikapcsolt állapotban volt.
Ez arra utalt, hogy a sebezhető kódútvonal nem kizárólag a normál fájlellenőrzési vagy real-time scanning folyamatok során aktiválódott.
A probléma magában a Malware Protection Engine működésében volt jelen.
A nyilvános exploitkód növelte a vállalati kockázatot
A RoguePlanet körüli kockázatot jelentősen növelte, hogy a sérülékenységhez működő proof-of-concept exploitkód került nyilvánosságra.
Nightmare Eclipse saját tárhelyen tette közzé a demonstrációt, miután állítása szerint a korábbi GitHub- és GitLab-repositorykat eltávolították.
A nyilvánosan hozzáférhető exploitkód:
- csökkenti a támadók technikai belépési küszöbét;
- felgyorsítja a sérülékenység beépítését támadási eszközökbe;
- megkönnyíti a ransomware-csoportok munkáját;
- növeli a javítatlan rendszerekkel kapcsolatos kockázatot;
- lehetővé teszi a már meglévő támadási láncok gyors bővítését.
Bár a hiba helyi hozzáférést igényel, egy kész exploit használata jelentősen egyszerűbb, mint a sérülékenység önálló elemzése és kihasználási módszerének kidolgozása.
Miért fontosak a helyi jogosultságnövelési hibák?
A local privilege escalation sérülékenységek gyakran kevesebb nyilvános figyelmet kapnak, mint a távoli kódfuttatási hibák, de a valós támadásokban rendkívül értékesek.
Egy tipikus vállalati támadás több szakaszból állhat:
- a támadó megszerzi egy alkalmazott fiókját;
- rosszindulatú kódot futtat a végponton;
- magasabb jogosultságot szerez;
- letiltja vagy megkerüli a biztonsági kontrollokat;
- hitelesítő adatokat gyűjt;
- továbbterjed más rendszerekre;
- adatokat lop vagy ransomware-t telepít.
A RoguePlanet a harmadik lépést gyorsíthatta fel, megszüntetve a normál felhasználói fiók korlátozásait.
Miért érzékeny különösen egy Defender-hiba?
A Microsoft Defender alapértelmezetten jelen van a modern Windows-rendszerek jelentős részén, és vállalati környezetben is széles körben alkalmazzák.
A biztonsági szoftverek rendszerint magas jogosultságokkal működnek, hogy:
- fájlokat vizsgáljanak;
- folyamatokat ellenőrizzenek;
- rendszerterületekhez férjenek hozzá;
- kártevőket távolítsanak el;
- védelmi beállításokat érvényesítsenek.
Ha ilyen komponensben található jogosultságnövelési hiba, a támadó éppen azt a szoftvert használhatja fel rendszerátvételre, amelynek a kompromittálódást kellene megakadályoznia.
A motoralapú frissítés előnye
A Microsoft Defender architektúrájának egyik előnye, hogy a Malware Protection Engine a Windows operációs rendszer havi kumulatív frissítéseitől külön is frissíthető.
Ez lehetővé teszi, hogy a Microsoft:
- gyorsabban reagáljon;
- ne várjon a következő Patch Tuesday időpontjáig;
- rövid idő alatt nagy számú eszközt javítson;
- automatikusan terítse az új motort;
- csökkentse a nyilvánosságra hozatal és a javítás közötti időszakot.
A 1.1.26060.3008-as motor automatikusan terjed a Defender Security Intelligence frissítési infrastruktúráján keresztül.
Hogyan ellenőrizhető a Defender motor verziója?
A rendszergazdák és felhasználók többféle módon ellenőrizhetik az aktuális verziót:
- Windows Security alkalmazásban;
- PowerShell használatával;
- Microsoft Defender for Endpoint portálon;
- Microsoft Intune rendszerben;
- Microsoft Configuration Manager segítségével;
- központi végpontmenedzsment megoldásokon keresztül.
A biztonságos verzió:
Microsoft Malware Protection Engine 1.1.26060.3008 vagy újabb.
A szigorúan elkülönített vagy internetkapcsolat nélküli rendszerek esetén a frissítést jóváhagyott offline csomagokon keresztül kell telepíteni.
Nightmare Eclipse több Microsoft zero-day hibát is nyilvánosságra hozott
A RoguePlanet nem az egyetlen, Nightmare Eclipse által közzétett Windows-sérülékenység.
A kutató az elmúlt hónapokban több Microsoft biztonsági technológiát érintő hibát is publikált, például:
- GreenPlasma;
- MiniPlasma;
- YellowKey;
- BlueHammer;
- RedSun;
- UnDefend.
A hibák közül több a Microsoft Defendert, mások pedig a BitLockert vagy a Windows alapvető biztonsági funkcióit érintették.
A GreenPlasma, a MiniPlasma és a YellowKey javítása a 2026. júniusi Patch Tuesday során érkezett meg, míg a RoguePlanet most, külön motorfrissítéssel kapott javítást.
Tovább folytatódik a nyilvánosságra hozatali vita
A RoguePlanet technikai problémája mellett komoly vita alakult ki a Microsoft és a kutató között a sérülékenységek kezeléséről.
Nightmare Eclipse többször bírálta:
- a Microsoft bug bounty eljárását;
- a kutatók elismerésének hiányát;
- a bejelentések kezelését;
- a javítási folyamat sebességét;
- a koordinált közzétételi rendszer működését.
A kutató állítása szerint korábbi bejelentéseit nem megfelelően kezelték vagy jutalmazták, ami hozzájárult ahhoz, hogy egyes hibák részleteit és exploitkódját nyilvánosan tette közzé.
A Microsoft ezzel szemben következetesen arra figyelmeztet, hogy a javítás előtti exploitközzététel növeli az ügyfeleket érő kockázatot, és használatra kész támadási technikát adhat kiberbűnözők kezébe.
Jogi figyelmeztetések is vitát váltottak ki
A Microsoft korábban jogi következmények lehetőségére is figyelmeztetett olyan tevékenységekkel kapcsolatban, amelyek ügyfeleknek okozhatnak kárt.
Bár a vállalat nem nevezett meg konkrét kutatót, a nyilatkozat időzítése miatt a biztonsági közösség egy része úgy értelmezte, hogy az Nightmare Eclipse közzétételeire is vonatkozhatott.
Az ügy ismét előtérbe helyezte a teljes nyilvánosság és a koordinált sérülékenység-közzététel közötti régi vitát.
A koordinált közzététel támogatói szerint a gyártónak időt kell adni a javítás elkészítésére és terítésére.
A teljes nyilvánosság hívei szerint a publikus információ:
- növeli a gyártói elszámoltathatóságot;
- felgyorsíthatja a javítást;
- tájékoztatja a veszélyeztetett felhasználókat;
- megakadályozza a problémák elhallgatását.
A RoguePlanet jól példázza e két megközelítés közötti feszültséget.
Vállalati kockázatértékelés
A RoguePlanet nem közvetlen belépési pont, hanem post-compromise eszköz.
A támadónak először valamilyen más módszerrel kódot kell futtatnia a célrendszeren.
Ezután a sérülékenység segítségével teljes rendszerjogosultságot szerezhet, majd:
- leállíthatja a Defender szolgáltatásait;
- manipulálhatja a naplókat;
- hitelesítő adatokat gyűjthet;
- tartós hozzáférést alakíthat ki;
- további rendszereket támadhat;
- ransomware-t telepíthet;
- érzékeny adatokat tulajdoníthat el.
A legnagyobb kockázatot azok a szervezetek jelentik, ahol a Defender motorfrissítések késleltetve, manuálisan vagy elkülönített hálózaton keresztül érkeznek.
Mit tegyenek a szervezetek?
A Microsoft Defendert használó szervezeteknek az alábbi intézkedések javasoltak:
- ellenőrizzék minden végpont Malware Protection Engine verzióját;
- telepítsék az 1.1.26060.3008-as vagy újabb motort;
- győződjenek meg arról, hogy az automatikus biztonsági intelligencia-frissítések működnek;
- frissítsék az offline vagy izolált rendszereket;
- figyeljék a váratlan SYSTEM szintű folyamatokat;
- keressék a gyanús Defender-szolgáltatásmódosításokat;
- vizsgálják az ismeretlen PowerShell-futtatásokat;
- ellenőrizzék a Defender letiltására irányuló próbálkozásokat;
- kapcsolják be a tamper protection funkciót;
- alkalmazzák a legkisebb jogosultság elvét;
- használjanak EDR-megoldást;
- tartsák naprakészen a Windows operációs rendszert is.
A kezdeti kompromittálódás elleni védelem továbbra is kulcsfontosságú
Mivel a RoguePlanet kihasználásához már meglévő helyi kódfuttatás szükséges, a szervezeteknek továbbra is kiemelten kell védekezniük az elsődleges behatolási módszerek ellen.
Ilyenek:
- adathalász e-mailek;
- rosszindulatú Office-dokumentumok;
- fertőzött weboldalak;
- böngészőkihasználások;
- ellopott hitelesítő adatok;
- nem javított internet-facing rendszerek;
- rosszindulatú scriptek;
- letöltött távoli hozzáférési eszközök.
Ha a támadó nem tud kezdeti hozzáférést szerezni, a helyi jogosultságnövelési sérülékenységet sem tudja kihasználni.
Tágabb kiberbiztonsági tanulságok
A RoguePlanet incidens több fontos iparági trendet is kiemel.
Elsőként azt, hogy maguk a biztonsági eszközök is magas értékű támadási felületet jelentenek.
Másodszor megmutatja a gyors, operációs rendszertől független frissítési mechanizmusok fontosságát.
Harmadszor rávilágít a szoftvergyártók és független biztonsági kutatók közötti együttműködés nehézségeire.
Ahogy a sérülékenységkutatás és az exploitfejlesztés egyre gyorsabbá válik, valószínűleg tovább nőnek majd a viták:
- az elismerésről;
- a bug bounty jutalmakról;
- a javítási határidőkről;
- az exploitkód nyilvánosságáról;
- a platformok moderációjáról;
- a jogi felelősségről.
Összegzés
A Microsoft a Malware Protection Engine 1.1.26060.3008-as verziójával javította a CVE-2026-50656 RoguePlanet sérülékenységet.
A hiba lehetővé tette, hogy egy már helyi kódfuttatással rendelkező támadó SYSTEM jogosultságot szerezzen, és ezzel teljes ellenőrzést vegyen át az érintett Windows-rendszer felett.
A proof-of-concept exploit nyilvános elérhetősége miatt a szervezeteknek haladéktalanul ellenőrizniük kell Defender motorverzióikat, és meg kell győződniük arról, hogy minden végpont megkapta a javítást.




