Microsoft bestätigt Defender-Zero-Day „RoguePlanet“ und arbeitet an Patch

Zusammenfassung

Microsoft hat offiziell bestätigt, an einem Patch für einen Zero-Day in Microsoft Defender zu arbeiten, der unter dem Namen „RoguePlanet“ öffentlich geworden ist. Die Schwachstelle trägt inzwischen die Kennung CVE-2026-50656 und wird von dem Unternehmen als Rechteausweitung mit einem CVSS-Wert von 7,8 eingestuft. Nach Angaben von Microsoft betrifft der Fehler die Microsoft Malware Protection Engine in Microsoft Defender. Das Unternehmen erklärte, ihm sei eine öffentlich als „RoguePlanet“ bezeichnete Rechteausweitung bekannt, und man arbeite an einem „hochwertigen Sicherheitsupdate“, um die Lücke zu schließen. Relevant ist der Fall auch deshalb, weil der Sicherheitsforscher Chaotic Eclipse, auch bekannt als Nightmare-Eclipse, den Exploit bereits zuvor veröffentlicht hatte. Er beschrieb RoguePlanet als Race-Condition-Schwachstelle, mit der Angreifer eine Shell mit SYSTEM-Rechten erhalten können. Microsoft hatte The Hacker News bereits in der vergangenen Woche mitgeteilt, dass man die gemeldete Schwachstelle kenne und die Gültigkeit sowie mögliche Anwendbarkeit der Angaben aktiv untersuche.

Mit CVE-2026-50656 hat Microsoft der unter dem Namen „RoguePlanet“ bekannt gewordenen Defender-Schwachstelle nun offiziell eine Kennung zugewiesen. Der Konzern bewertet den Fehler mit einem CVSS-Wert von 7,8 und ordnet ihn als Rechteausweitung ein. Betroffen ist laut Microsoft die Microsoft Malware Protection Engine in Microsoft Defender.

In seiner Stellungnahme erklärte das Unternehmen, es sei sich einer Rechteausweitung in der Engine bewusst, die öffentlich als „RoguePlanet“ bezeichnet werde. Zugleich kündigte Microsoft an, an einem Sicherheitsupdate zu arbeiten, das die Schwachstelle beheben soll. Einen fertigen Patch gibt es demnach bislang noch nicht.

Ausgelöst wurde die öffentliche Aufmerksamkeit knapp eine Woche zuvor durch den Sicherheitsforscher Chaotic Eclipse, der auch unter dem Namen Nightmare-Eclipse auftritt. Er veröffentlichte RoguePlanet und beschrieb den Exploit als Fall einer Race Condition, die Angreifern eine Shell mit SYSTEM-Rechten verschaffen könne.

Der Forscher schränkte zugleich ein, dass der Exploit nicht auf jedem System gleich zuverlässig funktioniere. Es handle sich um eine Race Condition, daher sei der Erfolg „Treffer oder Fehlschlag“. Auf einigen Rechnern habe er eine Erfolgsquote von 100 Prozent erreicht, auf anderen habe der Exploit dagegen Schwierigkeiten gemacht.

In einem am Dienstag veröffentlichten Update ergänzte Chaotic Eclipse einen weiteren Punkt zur Proof-of-Concept-Version. Er habe vergessen hinzuzufügen, dass der PoC für RoguePlanet überraschenderweise unabhängig davon funktioniere, ob der Echtzeitschutz aktiviert sei oder nicht. Er vermute zudem, dass der Exploit auch im passiven Modus funktionieren könnte, sei sich aber nicht sicher, weil er das nicht getestet habe.

Microsoft hatte The Hacker News bereits in der vergangenen Woche erklärt, dass dem Unternehmen die gemeldete Schwachstelle bekannt sei. Damals hieß es, man untersuche „aktiv die Gültigkeit und die mögliche Anwendbarkeit dieser Behauptungen“.

RoguePlanet ist bereits die vierte von Chaotic Eclipse offengelegte Defender-Schwachstelle. Zuvor hatte der Forscher bereits BlueHammer mit der Kennung CVE-2026-33825, UnDefend mit CVE-2026-45498 und RedSun mit CVE-2026-41091 veröffentlicht. Diese drei Schwachstellen wurden laut dem Quelltext inzwischen alle von Microsoft gepatcht.

Microsoft bestätigt Defender-Zero-Day „RoguePlanet“ und arbeitet an Patch

Ähnliche Artikel

Neueste Artikel