Im Kern handelt es sich bei RoguePlanet um eine lokale Privilegienerweiterung in Microsoft Defender. Microsoft führt die Schwachstelle unter der Kennung CVE-2026-50656. Nach Angaben des Unternehmens nutzt sie eine Race Condition aus, über die ein Angreifer seine Rechte bis auf System ausweiten kann.
Öffentlich wurde die Lücke, nachdem Nightmare Eclipse am 9. Juni einen Proof of Concept veröffentlicht hatte. Der Forscher, der auch unter dem Namen Chaotic Eclipse auftritt, hatte in den vergangenen Monaten mehrere Windows-Exploits publiziert. Der Quelltext ordnet diese Veröffentlichungen einem Streit mit Microsoft über den Umgang des Unternehmens mit Schwachstellenmeldungen zu.
Nightmare Eclipse erklärte damals, der Exploit habe in Tests keine Erfolgsquote von 100 Prozent erreicht. Zugleich wies der Forscher darauf hin, dass sich die Technik überarbeiten lasse, um stabiler zu werden.
Microsoft veröffentlichte am 16. Juni einen Sicherheitshinweis zu CVE-2026-50656 und aktualisierte ihn am 8. Juli. Mit der Aktualisierung informierte das Unternehmen Kunden darüber, dass Patches verfügbar sind.
Die Verteilung erfolgt laut Microsoft über ein Update der Microsoft Malware Protection Engine. Kunden müssten daher nichts selbst unternehmen, weil die Korrektur automatisch ausgerollt werden sollte. Außerdem erklärte der Konzern, dass das Update für RoguePlanet zusätzlich einige nicht näher beschriebene „Defense-in-Depth“-Anpassungen enthält, die sicherheitsbezogene Funktionen verbessern sollen.
Nach der Bereitstellung der Patches hat Nightmare Eclipse Defender nach eigenen Angaben erneut analysiert. Dabei fand der Forscher weitere Probleme im Zusammenhang mit Speicherlecks und der Verarbeitung von Dateien in Quarantäne. Derzeit versucht er festzustellen, ob sich diese Erkenntnisse ausnutzen lassen.
Für RoguePlanet selbst gibt es dem Bericht zufolge bisher keine Hinweise auf Angriffe. Allerdings seien einige andere von Nightmare Eclipse offengelegte Schwachstellen später tatsächlich in freier Wildbahn ausgenutzt worden. Dazu zählen die unter den Namen RedSun, UnDefend und BlueHammer bekannt gewordenen Lücken mit den Kennungen CVE-2026-41091, CVE-2026-45498 und CVE-2026-33825.
