Microsoft potvrdil kritickú zraniteľnosť CVE-2026-50656 v Microsoft Defender. Exploit RoguePlanet funguje na plne aktualizovaných Windows 10 a 11 bez dostupnej záplaty.
Čo sa stalo
Microsoft 18. júna 2026 oficiálne potvrdil kritickú zraniteľnosť v Microsoft Defender, ktorá dostala názov RoguePlanet a je sledovaná ako CVE-2026-50656. Ide o zraniteľnosť typu Elevation of Privilege (EoP) — konkrétne CWE-59 — spôsobenú nesprávnym rozlíšením symbolických odkazov pred prístupom k súboru (Improper Link Resolution Before File Access / Link Following) v komponente Microsoft Malware Protection Engine, ktorý tvorí jadro skenovacieho systému Microsoft Defender.
CVSS skóre zraniteľnosti je 7.8 (Important). Útočník nepotrebuje vysoké oprávnenia — stačí lokálny prístup k systému bez akejkoľvek interakcie zo strany používateľa. Exploit zneužíva tzv. TOCTOU race condition (Time-of-Check to Time-of-Use) — krátke časové okno medzi momentom, keď Defender overí cestu k súboru, a momentom, keď s ním skutočne pracuje. Výsledkom úspešného útoku je spustenie príkazového riadku s oprávneniami NT AUTHORITY\SYSTEM — najvyššia úroveň privilégií v prostredí Windows.
Aké sú dôsledky úspešného útoku
Úspešné zneužitie zraniteľnosti umožňuje útočníkovi:
- získať plnú kontrolu nad systémom s oprávneniami NT AUTHORITY\SYSTEM,
- inštalovať softvér, meniť alebo mazať súbory a vytvárať nové používateľské účty,
- deaktivovať bezpečnostné nástroje vrátane samotného Defendera,
- extrahovať prihlasovacie údaje z pamäte a umožniť ďalší laterálny pohyb v sieti.
Útok je obzvlášť zákerný, pretože funguje aj keď je Real-Time Protection vypnutá — prípadne aj v pasívnom režime Defendera. Signatúrové detekcie verejne dostupného PoC kódu sú podľa autora exploitu jednoducho obíditeľné minimálnymi úpravami. Microsoft zároveň hodnotí exploitáciu ako „Exploitation More Likely" — teda ako reálnu hrozbu v blízkej budúcnosti.
Koho sa to týka
Zraniteľnosť postihuje všetky systémy Windows 10 a Windows 11 — vrátane tých, ktoré majú nainštalovaný júnový kumulatívny update KB5094126. Teda aj plne aktualizované zariadenia sú ohrozené. Exchange Online ani iné cloudové služby nie sú dotknuté.
Nezávislá kybernetická firma ThreatLocker exploit samostatne reprodukovala a potvrdila jeho funkčnosť na plne aktualizovaných systémoch Windows 11. Exploit bol zverejnený 10. júna 2026 — hodiny po vydaní júnového Patch Tuesday — výskumníkom vystupujúcim pod prezývkami Nightmare Eclipse a Chaotic Eclipse. Záplata ku dňu publikácie tohto článku nie je dostupná a Microsoft neuviedol termín jej vydania.
Čo robiť
Microsoft pracuje na bezpečnostnej záplate a CVE advisory bude aktualizované po jej vydaní. Do tej doby odporúčame:
- Sledovať CVE-2026-50656 a záplatu nasadiť bezodkladne po jej zverejnení,
- prehodnotiť pravidlá detekcie v SIEM/EDR — signatúrové mitigácie sú podľa autora PoC ľahko obíditeľné drobnými úpravami kódu,
- posilniť ochranu identity a prístupu — nasadiť MFA a privilegovaný prístup (PAM), keďže RoguePlanet je najnebezpečnejší ako druhý stupeň útoku po krádeži prihlasovacích údajov,
- obmedziť lokálny prístup k citlivým systémom a monitorovať anomálne správanie na úrovni procesov.
Pozor: hoci ide o lokálny exploit, v praxi sa tento typ zraniteľnosti reťazí s phishingom alebo krádežou prihlasovacích údajov — a z bežného používateľa sa stane správca celého systému.
