Microsoft готовит патч для RoguePlanet: новая уязвимость в Defender дает права SYSTEM на Windows 10 и 11

Microsoft признала новую уязвимость в Microsoft Defender, известную под названием RoguePlanet. Проблема получила идентификатор CVE-2026-50656 и относится к классу повышения прав: локальный пользователь при успешной эксплуатации может получить привилегии SYSTEM — самый высокий уровень прав в Windows.

Уязвимость затрагивает Microsoft Malware Protection Engine — движок проверки вредоносного ПО, который работает внутри Microsoft Defender. Именно этот компонент отвечает за анализ файлов, обнаружение угроз и запуск процедур очистки. В карточке CVE Microsoft указывает, что готовит обновление безопасности, но на момент подготовки материала готового патча в открытом уведомлении еще не было.

Эксплойт RoguePlanet опубликован открыто, проблема воспроизводится на актуальных системах Windows 10 и Windows 11, а уязвимый компонент входит в стандартный защитный стек Windows. Для домашних пользователей это означает, что под ударом может оказаться обычная система с включенным Defender. Для компаний риск выше: успешное повышение прав часто используется как второй шаг атаки после получения первичного доступа к рабочей станции.

RoguePlanet связана с состоянием гонки. Так называют ошибку, при которой итог операции зависит от того, какое действие выполнится раньше: защитный компонент, пользовательский процесс или код атакующего. Такие уязвимости часто нестабильны: на одной машине эксплойт срабатывает почти каждый раз, на другой — только после нескольких попыток.

В опубликованном описании исследователь Nightmare Eclipse, также известный как Chaotic Eclipse, утверждает, что демонстрационный код тестировался на Windows 11 и Windows 10 с установленными июньскими обновлениями 2026 года. При успешной эксплуатации открывается командная строка с правами SYSTEM.

Автор указывает, что готовый демонстрационный код не работает на Windows Server в текущем виде, потому что обычный пользователь там не может монтировать ISO-образ. При этом он считает серверные версии потенциально уязвимыми, если переработать технику эксплуатации. 

Подробный технический разбор показывает, что эксплоит использует особенности штатного поведения Defender.

Сценарий строится вокруг файла-приманки, реакции Defender на обнаружение тестовой угрозы EICAR и последующих действий механизма очистки. EICAR — это безопасная тестовая строка, которую антивирусы используют для проверки реакции защитного ПО без настоящего вредоноса.

Эксплоит пытается выиграть состояние гонки в момент, когда Defender выполняет служебные операции с файлами. Дальше используется подмена пути и поведение системной задачи Windows Error Reporting. В результате системный компонент запускает уже подмененный файл, а код получает токен SYSTEM и открывает консоль с максимальными правами.

ThreatLocker в техническом разборе описывает цепочку с использованием EICAR-приманки, теневых копий, NTFS-механизмов, блокировок файлов, точек повторного разбора и планировщика задач Windows. 

Публичная карточка NVD указывает наличие демонстрационного кода. Подтвержденных массовых атак через RoguePlanet в открытых источниках на момент подготовки материала не заявлено.

Microsoft завела карточку CVE-2026-50656 и подтвердила, что работает над обновлением безопасности для Microsoft Malware Protection Engine. Компания описывает RoguePlanet как уязвимость повышения прав в Microsoft Defender.

Ранее в июне Microsoft выпустила крупный пакет исправлений для Windows, Office, Exchange, Azure и других продуктов. В него вошли патчи для нескольких ранее раскрытых проблем, связанных с Nightmare Eclipse. RoguePlanet появилась уже после этого выпуска обновлений, поэтому отдельный патч для нее еще готовится.