RoguePlanet betrifft Windows Defender und ermöglicht nach Angaben von Microsoft eine lokale Rechteausweitung bis zur höchsten Berechtigungsstufe SYSTEM. Ein Angreifer könnte damit auf einem Windows-Gerät ausgehend von einem einfachen Benutzerkontext die vollständige Kontrolle über das System erlangen. Microsoft veröffentlichte den Fix am Mittwoch außer der Reihe und nicht im regulären Patch-Zyklus.
Ausgelöst wurde die Aufmerksamkeit durch „Nightmare-Eclipse“, einen anonymen Sicherheitsforscher, der die Lücke samt Proof of Concept öffentlich machte. Der Konflikt mit Microsoft läuft bereits seit mehreren Monaten. Seinen Anfang nahm er im April, als der Forscher aus Frust über Microsofts Security Response Center (MSRC) einen Exploit für eine weitere Windows-Defender-Schwachstelle zur Rechteausweitung veröffentlichte: „BlueHammer“, erfasst als CVE-2026-33825.
Laut Quelltext verschärfte sich die Auseinandersetzung in den folgenden Wochen. Microsoft reagierte demnach mit Maßnahmen und juristischen Drohungen, während Nightmare-Eclipse weitere Zero-Day-Exploits veröffentlichte, von denen mehrere kurz darauf angegriffen wurden. Der Forscher drohte Microsoft zudem öffentlich mit Rache, nahm eine zuvor genannte Frist später aber wieder zurück.
Der Patch für CVE-2026-50656 ist in der Microsoft Malware Protection Engine Version 1.1.26060.3008 enthalten. Microsoft weist in seinem Advisory darauf hin, dass Systeme mit deaktiviertem Microsoft Defender nicht ausnutzbar seien. Gleichzeitig stuft der Hersteller die Angriffskomplexität als niedrig ein und hält eine Ausnutzung für wahrscheinlicher.
SOCRadar betonte in einem Blogbeitrag vom Donnerstag, dass RoguePlanet zwar keinen Fernangriff aus eigener Kraft ermöglicht, aber nach einer ersten Kompromittierung gefährlich ist. Die Schwachstelle setze lokalen Zugriff auf ein verwundbares Gerät voraus und sei am treffendsten als Post-Compromise-Exploit zur Rechteausweitung zu beschreiben. Das Forschungsteam schrieb, RoguePlanet sei „für sich genommen nicht aus der Ferne ausnutzbar, kann aber nach lokaler Codeausführung mit Standardbenutzerrechten sehr wertvoll sein“.
Als Werkzeug der zweiten Stufe könnte RoguePlanet laut SOCRadar Sicherheitsprodukte und Telemetrie manipulieren, Anmeldedaten für laterale Bewegungen ausleiten und Persistenz über geplante Aufgaben und andere Techniken herstellen. Zudem habe der anhaltende Streit zwischen Nightmare-Eclipse und Microsoft „mehrere öffentliche Exploit-Veröffentlichungen vor den üblichen Patch-Zyklen vorangetrieben und damit das Risiko für ungepatchte Umgebungen erhöht“.
SOCRadar-CISO Ensar Seker sagte gegenüber Dark Reading, es sei ungewöhnlich, dass Microsoft kurz vor einem Patch Tuesday ein Notfall-Update herausgibt; das deute wahrscheinlich auf eine erhöhte Dringlichkeit hin. Nightmare-Eclipse habe wiederholt detaillierte technische Analysen und Proof-of-Concept-Exploits kurz nach dem Patch Tuesday veröffentlicht und damit die Zeit verkürzt, bevor Angreifer die Forschung in Angriffe umsetzen könnten. Selbst wenn Microsoft bereits an einer Korrektur gearbeitet habe, dürfte die breite öffentliche Verfügbarkeit der Exploit-Details die Veröffentlichung beschleunigt haben.
Ob die Schwachstelle bereits aktiv missbraucht wurde, bleibt widersprüchlich. Microsofts aktualisierter Sicherheitshinweis erklärt, die Lücke sei nicht ausgenutzt worden; auch CISA hat CVE-2026-50656 nicht in den Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Qualys schrieb dagegen in einem Bedrohungsbericht, RoguePlanet sei „bei Angriffen ausgenutzt“ worden, nannte dafür aber keine Details.
Seker warnte, das Fehlen bestätigter Ausnutzung bedeute nicht, dass Angreifer RoguePlanet noch nicht bewaffnet hätten. Sicherheitsprodukte auf Endgeräten liefen auf Millionen Systemen und seien daher attraktive Ziele, erfolgreiche Ausnutzung hinterlasse aber oft nur sehr geringe öffentliche Sichtbarkeit. SOCRadar riet Unternehmen deshalb, das Update der Microsoft Malware Protection Engine zu prüfen, lokale Ausführungskontrollen auf Endgeräten zu härten und auf Hinweise für Rechteausweitungen zu achten, darunter Prozesse im Benutzerkontext, die SYSTEM-Shells starten, Änderungen an Dienst oder Konfiguration von Windows Defender sowie neu angelegte Dienste, geplante Aufgaben und automatische Startmechanismen.
