Microsoft arbeitet an Patch für Defender-Zero-Day „RoguePlanet“

Zusammenfassung

Microsoft hat einen Sicherheitshinweis zu einer öffentlich offengelegten Schwachstelle in Microsoft Defender veröffentlicht, die eine Rechteausweitung ermöglicht. Die Lücke wird als CVE-2026-50656 geführt und mit einem CVSS-Wert von 7,8 bewertet. Nach Angaben von Microsoft arbeitet das Unternehmen an einem Sicherheitsupdate, das den Fehler beheben soll; weitere Informationen sollen in dem CVE-Eintrag folgen, sobald das Update verfügbar ist. Öffentlich gemacht wurde die Schwachstelle in der vergangenen Woche von dem Sicherheitsforscher Nightmare Eclipse, auch bekannt als Chaotic Eclipse. Dessen unter dem Namen „RoguePlanet“ veröffentlichter Proof of Concept zielt auf eine Race-Condition in Microsoft Defender beziehungsweise in der Microsoft Malware Protection Engine und demonstriert eine lokale Rechteausweitung zu System-Rechten auf Windows-11- und Windows-10-Systemen mit den Juni-2026-Patches. Damit rückt erneut ein Zero-Day aus dem Umfeld von Nightmare Eclipse in den Fokus, nachdem der Forscher in den vergangenen Monaten bereits mehrere weitere Schwachstellen in Microsoft-Produkten veröffentlicht hatte.

In seinem Sicherheitshinweis schreibt Microsoft, man sei sich einer öffentlich als „RoguePlanet“ bezeichneten Rechteausweitung in der Microsoft Malware Protection Engine in Microsoft Defender bewusst. Das Unternehmen erklärte zudem, es arbeite daran, ein „hochwertiges Sicherheitsupdate“ bereitzustellen, das die Schwachstelle beseitigt.

Nightmare Eclipse hatte in der vergangenen Woche erläutert, dass RoguePlanet eine Race-Condition in Microsoft Defender ausnutzt und Angreifern so System-Rechte verschaffen kann. Der veröffentlichte Proof of Concept zeigt laut dem Forscher eine lokale Rechteausweitung auf Windows 11 und Windows 10, sofern dort die Juni-2026-Updates installiert sind. Dem Quelltext zufolge nutzt der öffentlich verfügbare PoC die Schwachstelle, um eine Eingabeaufforderung mit System-Rechten zu starten.

Nach Darstellung von Nightmare Eclipse konnte der Fehler ursprünglich auch für Remotecodeausführung missbraucht werden. Einige Ausnutzungspfade seien jedoch im Mai geschlossen worden, als Microsoft Updates auslieferte, die Defender zusätzlich absicherten. Der RoguePlanet-PoC sei daraufhin so überarbeitet worden, dass diese Schutzmaßnahmen umgangen werden. Der Forscher beschrieb den aktuellen Stand allerdings als unzuverlässig, zeigte sich aber überzeugt, dass sich der Exploit weiter verfeinern lasse, sodass er dauerhaft funktioniere, auch auf Windows-Server-Systemen.

Am Mittwoch ergänzte Nightmare Eclipse, dass der PoC unabhängig davon funktioniere, ob der Echtzeitschutz von Defender aktiviert oder deaktiviert sei. Nach Einschätzung des Forschers könnte der Exploit sogar im passiven Modus funktionieren.

RoguePlanet ist nicht der erste von Nightmare Eclipse veröffentlichte Zero-Day gegen Microsoft-Produkte. In den vergangenen Monaten hatte der Forscher laut Quelltext mehrere weitere Exploits offengelegt, darunter BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) und UnDefend (CVE-2026-45498), die bereits bei Angriffen ausgenutzt wurden. Microsoft hat für alle drei Schwachstellen Korrekturen bereitgestellt. Zudem enthielten die Patch-Tuesday-Updates vom Juni 2026 Fehlerbehebungen für zwei weitere Exploits von Nightmare Eclipse, GreenPlasma und YellowKey.

RoguePlanet ist zugleich der zweite Exploit von Nightmare Eclipse, den Microsoft in einem Sicherheitshinweis ausdrücklich erwähnt. Zuvor war dies bei YellowKey der Fall, als Microsoft im Mai Gegenmaßnahmen veröffentlichte und dem Forscher vorwarf, gegen bewährte Verfahren der koordinierten Offenlegung von Schwachstellen verstoßen zu haben. Diese Äußerungen lösten laut Quelltext Kritik aus der Cybersicherheits-Community aus.

Microsoft arbeitet an Patch für Defender-Zero-Day „RoguePlanet“

Ähnliche Artikel

Neueste Artikel