Nach Angaben von Microsoft ist dem Unternehmen eine Rechteausweitung in der Microsoft Malware Protection Engine von Microsoft Defender bekannt, die öffentlich als „RoguePlanet“ bezeichnet wird. In einem gestern veröffentlichten Advisory erklärte der Hersteller, man arbeite an einem „hochwertigen Sicherheitsupdate“, das die Schwachstelle beheben solle. Weitere Informationen wolle Microsoft in dem zugehörigen CVE-Eintrag veröffentlichen, sobald das Update verfügbar sei.

Die Lücke trägt inzwischen die Kennung CVE-2026-50656. Eine Woche zuvor hatte der Sicherheitsforscher Nightmare Eclipse einen Exploit zu RoguePlanet während des Patch Tuesday im Juni 2026 veröffentlicht. Der Forscher sagte, die Schwachstelle betreffe vollständig gepatchte Geräte mit Windows 10 und Windows 11 und erlaube es, über eine Race Condition in Microsoft Defender Befehlszeilenfenster mit SYSTEM-Rechten zu erzeugen.

Nightmare Eclipse stellte zudem einen Proof of Concept in einem selbst gehosteten Git-Repository bereit. Nach eigener Darstellung habe Microsoft zuvor Repositories auf GitHub und GitLab entfernen lassen, in denen Exploits des Forschers gehostet worden seien. Zur Zuverlässigkeit des Angriffs sagte Nightmare Eclipse, es handle sich um eine Race Condition, daher funktioniere der Exploit nicht immer gleich. Auf einigen Systemen sei eine Erfolgsquote von 100 Prozent erreicht worden, auf anderen habe der Angriff deutlich schlechter funktioniert. In einem Update vom Dienstag ergänzte der Forscher, der Proof of Concept für RoguePlanet funktioniere unabhängig davon, ob der Echtzeitschutz aktiviert sei oder nicht.

Schon zum Zeitpunkt der ersten Berichte hatte Microsoft gegenüber BleepingComputer erklärt, man kenne die gemeldete Schwachstelle und untersuche aktiv die Gültigkeit sowie die mögliche Anwendbarkeit der Angaben. Das Unternehmen betonte damals, Sicherheitsprobleme zu prüfen und betroffene Produkte so schnell wie möglich zu aktualisieren, um Kunden zu schützen.

Auffällig ist, dass Microsoft bei der Zuweisung von CVE-2026-50656 zwar die Schwachstelle bestätigte, aber nicht erwähnte, dass Nightmare Eclipse sie entdeckt hat. Die Veröffentlichung von RoguePlanet ist Teil eines anhaltenden Streits zwischen dem Forscher und Microsoft über den Umgang des Unternehmens mit Bug-Bounty-Programmen und der Offenlegung von Schwachstellen.

In den vergangenen Monaten hatte Nightmare Eclipse mehrere weitere Windows-Zero-Day-Exploits öffentlich gemacht, darunter BlueHammer, RedSun, GreenPlasma, MiniPlasma, YellowKey und UnDefend. Ein Teil dieser Zero-Days betrifft Microsoft Defender, andere zielen auf BitLocker und verschiedene Windows-Komponenten. Microsoft reagierte auf diese Veröffentlichungen mit Warnungen vor rechtlichen Schritten gegen Personen, die sich an „böswilligen Aktivitäten beteiligen, die unseren Kunden echten Schaden zufügen“. Das führte laut dem Quelltext dazu, dass Cybersicherheitsexperten und Forscher davon ausgingen, Microsoft habe dem Forscher gedroht.

Die Schwachstellen GreenPlasma, MiniPlasma und YellowKey hatte Microsoft erst vergangene Woche im Rahmen der Patch-Tuesday-Updates vom Juni 2026 behoben.