Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

helpnetsecurity+1cybelangel+1threatlocker+1Microsoft hat offiziell eine Schwachstelle zur Privilegienerweiterung in der Microsoft Malware Protection Engine eingeräumt, die nun unter CVE-2026-50656 mit einem CVSS-Wert von 7,8 geführt wird, und mitgeteilt, dass an einem Sicherheitsupdate zur Behebung des Fehlers gearbeitet wird. Die Schwachstelle, die öffentlich als "RoguePlanet" bezeichnet wird, wurde am 16. Juni in Microsofts Sicherheitshinweis veröffentlicht, ohne dass ein Zeitplan für eine Korrektur genannt wurde.helpnetsecurity+2
RoguePlanet nutzt eine Time-of-Check-to-Time-of-Use-Race-Condition in der Echtzeit-Scan-Engine von Microsoft Defender aus, um Angreifern SYSTEM-Rechte auf vollständig gepatchten Windows 10- und Windows 11-Systemen zu verschaffen. Die Schwachstelle ist unter CWE-59 (Improper Link Resolution Before File Access) klassifiziert und kann in Angriffen mit geringer Komplexität von authentifizierten lokalen Angreifern ohne Benutzerinteraktion ausgenutzt werden.cybelangel+2
Der Proof-of-Concept wurde am 10. Juni 2026 von einem Forscher unter den Pseudonymen Nightmare Eclipse und Chaotic Eclipse veröffentlicht, nur Stunden nachdem Microsoft sein bisher größtes Patch-Tuesday-Update mit über 200 Schwachstellen bereitgestellt hatte. Das Sicherheitsunternehmen ThreatLocker bestätigte unabhängig, dass der Exploit auf Systemen mit dem kumulativen Update vom Juni 2026 funktioniert. Microsoft hat die Schwachstelle gemäß seinem Exploitability Index als "Exploitation More Likely" (Ausnutzung wahrscheinlicher) eingestuft, jedoch bisher keine Ausnutzung in freier Wildbahn festgestellt.helpnetsecurity+3
RoguePlanet ist der achte Exploit, der seit Anfang April 2026 von Nightmare Eclipse veröffentlicht wurde, in einer von Forschern als Vergeltungskampagne gegen Microsoft beschriebenen Serie. Der Forscher hat jede Veröffentlichung bewusst auf die Tage nach dem Patch Tuesday gelegt, um sicherzustellen, dass wochenlang kein Fix verfügbar ist. Drei frühere Exploits der Serie – BlueHammer, RedSun und UnDefend – wurden bestätigt, bevor Microsoft Patches veröffentlichte. Das Sicherheitsunternehmen Huntress beobachtete Nightmare Eclipse-Tools bereits im April bei einem aktiven Eindringversuch.fortifiedhealthsecurity+2
Da kein Patch verfügbar ist, wird Organisationen empfohlen, Standardbenutzern das Einbinden von VHD- und VHDX-Dateien per Gruppenrichtlinie zu untersagen, wodurch der primäre Bereitstellungsmechanismus des aktuellen Proof-of-Concept entfernt wird. Microsoft empfiehlt außerdem, Attack Surface Reduction-Regeln in Defender zu aktivieren, um gängige Schritte nach der Ausnutzung zu erschweren. ThreatLocker riet zur Durchsetzung von Anwendungs-Allowlisting-Richtlinien, die nicht signierte ausführbare Dateien von benutzerbeschreibbaren Speicherorten blockieren.threatlocker+1
Microsoft teilte lediglich mit, dass man "daran arbeite, ein qualitativ hochwertiges Sicherheitsupdate bereitzustellen" und den CVE-Eintrag aktualisieren werde, sobald der Patch verfügbar ist.opencve+1