A Microsoft megerősítette, hogy dolgozik egy biztonsági frissítésen, amely a Windows Defender újonnan nyilvánosságra került nulladik napi (zero-day) sérülékenységét javítja.
A RoguePlanet néven ismert hiba lehetővé teheti, hogy a támadók SYSTEM szintű jogosultságot szerezzenek még teljesen frissített Windows 10 és Windows 11 rendszereken is.
A sérülékenységet CVE-2026-50656 azonosítóval regisztrálták, és egy független biztonsági kutató, Nightmare Eclipse hozta nyilvánosságra a júniusi Patch Tuesday időszakában. A kutató működő proof-of-concept (PoC) exploitkódot is közzétett, ami tovább növeli annak kockázatát, hogy a hibát rosszindulatú szereplők is megpróbálják kihasználni.
A Microsoft hivatalosan is elismerte a sérülékenységet
A vállalat közleményében megerősítette, hogy tisztában van a problémával, és mérnökei már dolgoznak a javításon.
Egyelőre azonban:
- nem jelent meg biztonsági frissítés,
- nem közöltek várható kiadási dátumot,
- és arról sem számoltak be, hogy a sérülékenységet már kihasználták volna valós támadások során.
A Microsoft ugyanakkor hivatalosan is CVE-azonosítót rendelt a hibához, azonban a felfedezésért nem nevezte meg Nightmare Eclipse-et, ami tovább erősítheti a kutató és a vállalat között hónapok óta zajló szakmai vitát.
A RoguePlanet egy versenyhelyzetet (race condition) használ ki
A kutató szerint a sérülékenység a Microsoft Malware Protection Engine egyik úgynevezett race condition hibájából ered.
A race condition olyan programozási hiba, amely akkor jelentkezik, amikor két vagy több folyamat időzítése nem megfelelően kezelhető. Ha ezt egy támadó megfelelő pillanatban kihasználja, a rendszer váratlan műveleteket hajthat végre.
A RoguePlanet exploit sikeres futtatása után a támadó:
- SYSTEM jogosultságot szerezhet;
- teljes hozzáférést kaphat a rendszerhez;
- telepíthet rosszindulatú programokat;
- módosíthatja a biztonsági beállításokat;
- hozzáférhet érzékeny adatokhoz;
- illetve tartós hozzáférést alakíthat ki.
A SYSTEM jogosultság a Windows operációs rendszer legmagasabb jogosultsági szintje, amely gyakorlatilag korlátlan hozzáférést biztosít a számítógéphez.
A sikeres kihasználás nem minden rendszeren egyforma
Nightmare Eclipse szerint az exploit működése nagymértékben függ a rendszer időzítésétől.
A kutató elmondása szerint:
„Mivel race condition hibáról van szó, előfordulhat, hogy elsőre nem működik. Egyes gépeken 100%-os sikerességet értem el, míg más rendszereken jóval nehezebb volt reprodukálni.”
Később azt is közölte, hogy a sérülékenység akkor is kihasználható marad, ha a Windows Defender valós idejű védelme ki van kapcsolva.
Bár az ilyen típusú hibák reprodukálása gyakran nehéz, a biztonsági szakemberek szerint ez nem csökkenti jelentősen a kockázatot, hiszen automatizált támadások során a próbálkozások száma gyakorlatilag korlátlan lehet.
A jogosultságkiterjesztési hibák továbbra is kiemelten értékesek
A RoguePlanet önmagában nem teszi lehetővé távoli kódfuttatást, ugyanakkor a jogosultságkiterjesztési sérülékenységek a modern támadási láncok egyik legfontosabb elemei.
A támadók jellemzően először valamilyen más módszerrel jutnak be a rendszerbe, például:
- adathalász e-mailekkel,
- böngésző sérülékenységekkel,
- rosszindulatú dokumentumokkal,
- vagy ellopott felhasználói hitelesítő adatokkal.
Ezt követően egy ilyen helyi jogosultságkiterjesztési hibával teljes rendszerszintű hozzáférést szerezhetnek.
Különösen aggasztó, hogy a sérülékenység a kutató szerint teljesen naprakész Windows rendszereken is működik, vagyis a legfrissebb biztonsági frissítések telepítése önmagában jelenleg nem jelent védelmet.
A Windows Defender hibái különösen érzékenyek
A biztonsági termékeket érintő sérülékenységek mindig kiemelt figyelmet kapnak.
A Windows Defender:
- rendszerszintű jogosultságokkal működik;
- mély hozzáféréssel rendelkezik az operációs rendszerhez;
- folyamatosan figyeli a fájlokat és folyamatokat.
Ha egy támadó éppen ezt a biztonsági komponenst tudja kihasználni, azzal a védelem egyik legfontosabb elemét fordíthatja saját előnyére.
Folytatódik a vita a kutató és a Microsoft között
A RoguePlanet nem az első sérülékenység, amelyet Nightmare Eclipse hozott nyilvánosságra.
Az elmúlt hónapokban több ismert hibát is publikált, többek között:
- BlueHammer (CVE-2026-33825)
- RedSun (CVE-2026-41091)
- GreenPlasma
- MiniPlasma (CVE-2020-17103)
- YellowKey
- UnDefend (CVE-2026-45498)
Ezek közül több is:
- a Windows Defendert,
- a BitLockert,
- illetve más Windows biztonsági komponenseket érintett.
A nyilvános exploitok közzététele komoly vitát váltott ki a felelős sérülékenység-kezelésről, valamint a Microsoft hibabejelentési és bug bounty programjának működéséről.
A Microsoft már több korábbi hibát kijavított
A júniusi Patch Tuesday során a vállalat már javította több, korábban ugyanettől a kutatótól származó sérülékenységet, többek között:
- GreenPlasma;
- MiniPlasma;
- YellowKey.
A RoguePlanet azonban továbbra is javítás nélkül maradt.
Mit tehetnek most a szervezetek?
Amíg nem érkezik hivatalos javítás, a biztonsági szakemberek az alábbiakat javasolják:
- kövessék a Microsoft biztonsági közleményeit;
- figyeljék a Defenderhez kapcsolódó rendellenes folyamatokat;
- ellenőrizzék a SYSTEM jogosultsággal induló parancssorokat;
- monitorozzák a szokatlan jogosultságkiterjesztési eseményeket;
- készüljenek fel a javítás mielőbbi telepítésére.
Mivel a működő exploitkód már nyilvánosan elérhető, jelentősen nő annak valószínűsége, hogy a támadók rövid időn belül megpróbálják beépíteni azt saját támadóeszközeikbe.
Összegzés
A RoguePlanet (CVE-2026-50656) újabb emlékeztető arra, hogy még a beépített biztonsági megoldások is tartalmazhatnak súlyos sérülékenységeket. A Microsoft már dolgozik a javításon, azonban annak megjelenéséig a szervezeteknek fokozott figyelemmel kell követniük a gyanús jogosultságkiterjesztési eseményeket.
A nyilvánosan elérhető exploit miatt a sérülékenység kiemelt figyelmet érdemel, különösen vállalati környezetben, ahol a Windows Defender a végpontvédelem egyik legfontosabb eleme.
