Microsoft исправила уязвимость RoguePlanet в антивирусном движке Defender. Обновление устраняет возможность повышения прав до уровня SYSTEM, однако исследователь Nightmare Eclipse обнаружил в новой версии другой потенциально опасный сценарий. Специально подготовленный файловый сервер может заставить антивирус сохранять данные до полного заполнения диска.
Исправление выпущено 8 июля 2026 года в составе Microsoft Malware Protection Engine 1.1.26060.3008. Обновление обычно загружается автоматически вместе с базами защитного ПО, поэтому большинству пользователей устанавливать отдельный пакет не требуется. Последней уязвимой версией Microsoft называет 1.1.26050.11.
Новый риск пока не подтверждён производителем и не получил отдельного номера CVE. Его описание основано на экспериментах автора RoguePlanet. Исследователь опубликовал технический сценарий, но не предоставил независимый аудит исправления или сведения об атаках на реальные системы.
RoguePlanet отслеживается под номером CVE-2026-50656 и получила оценку 7,8 балла из 10 по шкале CVSS. Уязвимость находилась в Microsoft Malware Protection Engine — основном движке, который сканирует файлы, обнаруживает вредоносные программы и помещает подозрительные объекты в карантин.
Ошибка относилась к классу неправильной обработки ссылок перед обращением к файлу. В опубликованном варианте эксплоита она проявлялась как состояние гонки: результат зависел от того, какая из нескольких операций успеет выполниться первой.
Атакующему требовался локальный доступ с правами обычного пользователя. После успешной эксплуатации он мог запустить командную строку от имени NT AUTHORITY\SYSTEM. Эта встроенная учётная запись обладает более широкими полномочиями, чем обычный администратор Windows.
Получив права SYSTEM, нарушитель может изменять системные файлы, создавать пользователей, извлекать учётные данные, отключать защитные механизмы и устанавливать вредоносные программы. Microsoft оценивала вероятность эксплуатации как повышенную, но на момент публикации обновлённого бюллетеня не подтверждала использование RoguePlanet в реальных атаках.
Nightmare Eclipse опубликовал демонстрационный код для Windows 10 и Windows 11 с установленными июньскими обновлениями 2026 года. Надёжность атаки отличалась от компьютера к компьютеру. На некоторых испытательных системах код срабатывал постоянно, на других требовалось несколько попыток.
Такая нестабильность характерна для состояний гонки. Эксплоит должен попасть в короткий промежуток между проверкой объекта и последующей операцией Defender. Изменение скорости диска, загрузки процессора и порядка выполнения потоков влияет на результат.
Готовый демонстрационный вариант не работал на Windows Server. Обычным пользователям серверных выпусков запрещено подключать образы дисков тем способом, который использовался в коде. Автор считал серверные системы уязвимыми, однако это предположение требовало другой реализации и не было доказано опубликованным эксплоитом.
Независимые специалисты воспроизвели RoguePlanet на полностью обновлённой Windows 11. Исследование подтвердило возможность получить SYSTEM, но не превратило атаку в удалённое проникновение. Сначала злоумышленнику всё равно требовался запуск кода с правами локального пользователя.
Microsoft не стала ждать очередного ежемесячного набора обновлений Windows. Исправление доставили через механизм обновления Defender.
Компания регулярно обновляет три отдельных компонента защиты: антивирусные базы, движок проверки и платформу Defender. Базы содержат сведения об известных угрозах, движок обрабатывает файлы, а платформа отвечает за работу защитных функций и управление ими.
Версия 1.1.26060.3008 стала первой, в которой CVE-2026-50656 считается устранённой. Перезагрузка в обычных условиях не требуется: установщик останавливает необходимые службы, заменяет компоненты и запускает их снова. Система может запросить перезапуск, если файлы движка заняты и службы нельзя корректно остановить.
Исправление RoguePlanet включало дополнительные меры эшелонированной защиты. Microsoft не раскрыла техническое устройство этих изменений. Nightmare Eclipse изучил обновлённый файл mpengine.dll и сообщил о двух побочных эффектах.
Первый связан с утечкой восьми байтов памяти при некоторых операциях открытия файла. Исследователь не показал, что эти данные содержат пароли, ключи или другую ценную информацию. Сам по себе факт чтения неинициализированных байтов ещё не доказывает возможность практической кражи секретов.
Второе наблюдение выглядит опаснее. Обновлённый движок якобы может без достаточного ограничения сохранять локальную копию потока Zone.Identifier, даже если его размер необычно велик.
Файловая система NTFS позволяет прикреплять к одному файлу несколько потоков данных. Пользователь видит основной файл, а дополнительные потоки остаются скрытыми от обычного проводника.
Windows использует Zone.Identifier, чтобы отмечать происхождение загруженных объектов. В нём может храниться информация о том, что файл получен из интернета, электронной почты или другой недоверенной зоны.
Этот механизм связан с предупреждениями при запуске загруженных программ и технологией Mark of the Web — меткой происхождения из сети. Присутствие Zone.Identifier помогает приложениям включать дополнительные проверки безопасности.
Размер такого потока обычно невелик. Он содержит несколько строк метаданных, а не содержимое самого файла. Сценарий Nightmare Eclipse строится на искусственно созданном потоке огромного размера, который обычные программы не формируют.
Для предполагаемой атаки нужен специально настроенный сервер SMB. Протокол Server Message Block применяется в Windows для доступа к сетевым папкам, принтерам и удалённым файлам.
Сервер предоставляет подозрительный исполняемый файл. В качестве примера исследователь использовал Mimikatz — известную программу для работы с учётными данными Windows. Вместе с основным объектом сервер передаёт огромный дополнительный поток с именем mimikatz.exe:Zone.Identifier.
Defender обнаруживает подозрительный файл и начинает его обработку. Облачная подсистема защиты пытается создать локальную копию связанного потока. Сервер передаёт данные, затем перестаёт отвечать на запросы чтения, сохраняя сетевое соединение открытым.
В описанном эксперименте движок зависает на обработке объекта и продолжает занимать место локальными данными. Процесс способен остановиться только после исчерпания свободного пространства либо вмешательства пользователя или администратора.
Это сценарий отказа в обслуживании. Он не выдаёт злоумышленнику права SYSTEM и не раскрывает содержимое файлов. Цель состоит в нарушении доступности компьютера.
Переполнение системного раздела редко вызывает немедленную аварийную остановку Windows. Последствия проявляются постепенно.
Приложения перестают сохранять документы и настройки. Браузеры теряют возможность создавать временные файлы. Системные службы не могут записывать журналы и обновлять базы данных. Установка обновлений завершается ошибкой, а программы начинают зависать или неожиданно закрываться.
На рабочих станциях последствия обычно ограничиваются простоем пользователя и возможной потерей несохранённых данных. На сервере или терминальном узле заполнение диска может одновременно нарушить работу нескольких служб.
Исследователь утверждает, что Defender также удерживает обрабатываемый объект заблокированным. Это усложняет очистку во время активной операции. Подтверждения такого поведения на разных конфигурациях Windows пока не опубликованы.
Сценарий нельзя запустить обычной веб-страницей. Злоумышленнику необходимо заставить систему обратиться к подконтрольному SMB-серверу и передать Defender специально сформированный файл с крупным дополнительным потоком.
Такое условие выполнимо в корпоративной сети, где сотрудники работают с общими папками. Возможен и фишинговый сценарий: жертве отправляют ссылку на сетевой ресурс или файл, который обращается к внешнему серверу.
Многие организации блокируют исходящие SMB-соединения в интернет. Порты TCP 445 и 139 часто закрыты на пограничных межсетевых экранах из-за риска перехвата учётных данных и распространения вредоносных программ. В такой конфигурации удалённая эксплуатация становится сложнее.
Внутренний нарушитель или заражённое устройство в локальной сети могут разместить собственный SMB-сервер без выхода в интернет. Поэтому ограничение внешних соединений снижает риск, но не устраняет его полностью.
Массовой эксплуатации, готового общедоступного кода и независимого воспроизведения пока не зафиксировано. Microsoft не добавила проблему в свой бюллетень и не выпустила отдельное обновление.
Вопросы и ответы
Что такое RoguePlanet?
RoguePlanet — публичное название уязвимости CVE-2026-50656 в Microsoft Malware Protection Engine. Она позволяла пользователю с низкими правами повысить привилегии до уровня SYSTEM.
Какие версии Defender уязвимы?
Последней уязвимой версией движка считается 1.1.26050.11. Исправление впервые появилось в 1.1.26060.3008.
Нужно ли устанавливать патч вручную?
В стандартной конфигурации движок обновляется автоматически. Пользователям и администраторам стоит проверить номер установленной версии, поскольку доставка может задержаться или завершиться ошибкой.
Требует ли RoguePlanet удалённого доступа?
Нет. Вектор CVSS обозначен как локальный. Злоумышленнику сначала требуется возможность выполнять код под учётной записью с низкими привилегиями.
Новый способ заполнения диска уже подтверждён?
Его описал Nightmare Eclipse. Microsoft публично не подтвердила проблему, отдельного CVE нет, независимые технические отчёты пока не опубликованы.
Что такое Zone.Identifier?
Это скрытый дополнительный поток NTFS с информацией о происхождении файла. Windows использует его, чтобы помечать объекты, загруженные из интернета или полученные из недоверенных источников.
Зачем атакующему нужен SMB-сервер?
Сервер должен передавать Defender специально созданный файл и огромный поток Zone.Identifier, а затем особым образом удерживать соединение. Обычного размещения файла на сайте для описанного сценария недостаточно.
Может ли атака физически повредить SSD?
Доказательств физического повреждения накопителя нет. Основной риск связан с заполнением свободного пространства, сбоями приложений и остановкой служб.
Стоит ли откатывать обновление?
Нет. Откат вернёт подтверждённую уязвимость RoguePlanet с опубликованным демонстрационным кодом. Безопаснее оставить патч, ограничить SMB и контролировать свободное место.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.