A Microsoft megerősítette, hogy dolgozik a „RoguePlanet” néven ismertté vált, a Microsoft Defenderhez kapcsolódó nulladik napi sérülékenység javításán, amely egy héttel ezelőtt került nyilvánosságra.
A RoguePlanet exploitot publikáló biztonsági kutató (Nigthmare Eclipse, más néven Chaotic Eclipse) szerint a sérülékenység a Windows 10 és Windows 11 legfrissebb verzióit is érinti. A hiba lehetővé teszi, hogy a támadók egy Microsoft Defenderben található versenyhelyzetet (race condition) kihasználva SYSTEM jogosultságokkal futó parancssort indítsanak.
„Az exploit egy versenyhelyzeten alapuló sérülékenységet használ ki, ezért a sikeres kihasználás nem minden esetben garantált. Egyes rendszereken 100%-os találati arányt értem el, míg másokon nehezen működött” – nyilatkozta Nightmare Eclipse. A kutató egy keddi frissítésében azt is hozzátette, hogy a RoguePlanet PoC akkor is működik, ha a Microsoft Defender valós idejű védelme be van kapcsolva, és akkor is, ha nincs.
Kedden, a RoguePlanet sérülékenység nyilvánosságra kerülését követően egy héttel, a Microsoft a CVE-2026-50656 azonosítót rendelte a hibához, és hivatalosan is megerősítette, hogy dolgozik a javításon. Ugyanakkor a cég nem ismerte el, hogy a sérülékenységet Nightmare Eclipse fedezte volna fel.
A vállalat az ide kapcsolódó biztonsági közleményében így nyilatkozott: „Tudomásunkra jutott egy jogosultságkiterjesztési sérülékenység a Microsoft Defender részét képező Microsoft Malware Protection Engine komponensben, amelyet nyilvánosan RoguePlanet néven említenek. Jelenleg egy magas minőségű biztonsági frissítés fejlesztésén dolgozunk, amely orvosolja ezt a sérülékenységet. A javítás elérhetővé válásakor további információkat teszünk közzé a CVE-bejegyzésben.”
A RoguePlanet nyilvánosságra hozatala egy folyamatban lévő konfliktus része Nightmare Eclipse és a Microsoft között, amely elsősorban a vállalat bug bounty programjával és sérülékenység-kezelési gyakorlatával kapcsolatos nézeteltérésekből ered, és amelyről már több alkalommal beszámoltunk.
Az elmúlt hónapok során a kutató több Windows nulladik napi exploitot is nyilvánosságra hozott, köztük a BlueHammer, RedSun, GreenPlasma, MiniPlasma, YellowKey és UnDefend néven ismert sérülékenységekhez kapcsolódó kódrészleteket. Ezek közül több a Microsoft Defendert érinti, míg mások a BitLocker titkosítási megoldást vagy egyéb Windows-komponenseket céloznak.
A Microsoft a közzétételekre reagálva jogi lépések lehetőségére figyelmeztetett minden olyan esetben, amikor valaki „rosszindulatú tevékenységet folytat, amely valós károkat okoz ügyfeleinknek”. Ez a nyilatkozat a kiberbiztonsági közösség egy részében azt a benyomást keltette, hogy a vállalat közvetve jogi következményekkel fenyegeti a kutatót.
