W środę Microsoft opublikował ostrzeżenie, w którym potwierdzono publiczne ujawnienie luki w zabezpieczeniach programu Defender. Podatność może prowadzić do eskalacji uprawnień.

Autor: 3 min czytania

Defekt bezpieczeństwa, sklasyfikowany jako CVE-2026-50656 (wynik CVSS 7,8), został opisany w zeszłym tygodniu przez badacza bezpieczeństwa działającego pod pseudonimem Nightmare Eclipse (znanego również jako Chaotic Eclipse).

„Microsoft jest świadomy podniesienia uprawnień w mechanizmie ochrony przed złośliwym oprogramowaniem w programie Microsoft Defender, publicznie określanym jako RoguePlanet” – czytamy w ostrzeżeniu giganta technologicznego.

„Pracujemy nad udostępnieniem wysokiej jakości aktualizacji zabezpieczeń, która usuwa tę lukę. Informacje zostaną opublikowane, gdy aktualizacja będzie dostępna” – dodaje Microsoft.

RoguePlanet, jak wyjaśnił Nightmare Eclipse w zeszłym tygodniu, wykorzystuje podatność w programie Microsoft Defender i umożliwia atakującym uzyskanie uprawnień systemowych.

Badacz opublikował exploit typu proof-of-concept (PoC), demonstrujący lokalną eskalację uprawnień (LPE) w systemach Windows 11 i Windows 10 z zainstalowanymi poprawkami z czerwca 2026 roku!

Początkowo, jak zauważył Nightmare Eclipse, błąd mógł zostać wykorzystany do zdalnego wykonania kodu (RCE), ale niektóre ścieżki eksploatacji zamknięto w maju, kiedy Microsoft wprowadził aktualizacje wzmacniające Defendera.

PoC RoguePlanet został przeprojektowany, aby obejść te zabezpieczenia, i może być zawodny. Badacz jest jednak przekonany, że można go udoskonalić tak, aby działał zawsze, nawet w systemach Windows Server!

W środę Nightmare Eclipse wskazał, że PoC działa niezależnie od tego, czy ochrona w czasie rzeczywistym Defendera jest włączona, czy wyłączona. Według badacza może on funkcjonować nawet w trybie pasywnym.

Microsoft mógł poprzestać na suchych komunikatach, jednak pokusił się o komentarz, który wywołał małą burzę. Najpierw trochę kontekstu.

W ciągu ostatnich kilku miesięcy niezadowolony z procesu ujawniania luk w zabezpieczeniach Microsoftu Nightmare Eclipse opublikował kilka exploitów typu zero-day atakujących produkty firmy, w tym BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) i UnDefend (CVE-2026-45498), które zostały wykorzystane w atakach.

Microsoft wdrożył poprawki dla wszystkich trzech, a aktualizacje z czerwca 2026 roku (Patch Tuesday) zawierały poprawki dla dwóch innych exploitów Nightmare Eclipse, a mianowicie GreenPlasma i YellowKey. RoguePlanet to drugi exploit Nightmare Eclipse wspomniany w komunikacie Microsoftu. W maju producent Defendera, omawiając środki zaradcze dla YellowKey, oskarżył badacza o naruszenie skoordynowanych najlepszych praktyk w zakresie luk w zabezpieczeniach. Właśnie te komentarze Microsoftu wywołały negatywną reakcję społeczności zajmującej się cyberbezpieczeństwem i chyba zmobilizowały badacza do publikowania kolejnych doniesień o produktach giganta z Redmont.