Mastodon Mastodon Mastodon Mastodon

RoguePlanet у Microsoft Defender: уразливість привілеїв та можливий DoS

Photo of author

CyberSecureFox Editorial Team

Опубліковано:

Microsoft усунула критичну вразливість підвищення привілеїв CVE-2026-50656 (RoguePlanet) у Microsoft Defender з оцінкою 7,8 бала за CVSS, однак, за непідтвердженими даними дослідника, випущене виправлення могло створити новий вектор для атак типу «відмова в обслуговуванні». Проблема зачіпає системи Windows 10 і Windows 11, а оновлення рушія Microsoft Malware Protection Engine до версії 1.1.26060.3008 встановлюється автоматично. Адміністраторам рекомендується перевірити версію рушія та контролювати вільний дисковий простір на критичних системах до отримання офіційних роз’яснень від Microsoft.

Початкова вразливість RoguePlanet

Згідно з офіційним бюлетенем Microsoft, вразливість CVE-2026-50656 пов’язана зі станом гонки (race condition) у Microsoft Defender. За даними запису в NVD, вразливість отримала оцінку 7,8 за шкалою CVSS, що відповідає високому рівню критичності. Експлуатація дає змогу підвищити привілеї до рівня SYSTEM і виконати довільний код на повністю оновлених системах.

Статус експлуатації: для вразливості існує публічний PoC-експлойт, однак підтверджених випадків активної експлуатації в реальних атаках на момент публікації не зафіксовано. Вразливість не внесена до каталогу CISA KEV.

Ймовірна регресія: вектор DoS через Zone.Identifier

Окрім основного виправлення, оновлення включало додаткові захисні заходи. Дослідник Nightmare Eclipse стверджує у своєму блозі, що ці заходи створили потенційний вектор для DoS-атаки, здатної повністю заповнити системний диск. Важливо наголосити: це твердження ґрунтується на єдиному джерелі й не підтверджене Microsoft.

За описом дослідника, механізм проблеми виглядає так:

  • У штатному режимі Defender обмежує розмір файлів, що записуються під час сканування та поміщення об’єктів до карантину, запобігаючи вичерпанню дискового простору.
  • Після оновлення, ймовірно, з’явився виняток, пов’язаний із хмарною підсистемою SpyNet та обробкою альтернативних потоків даних NTFS (ADS) типу Zone.Identifier.
  • Zone.Identifier — прихований ADS, який Windows автоматично додає до файлів, завантажених з інтернету, зберігаючи інформацію про походження файлу та його зону безпеки.
  • За твердженням дослідника, після оновлення Defender намагається зберегти локальну копію Zone.Identifier без обмеження розміру потоку.

Описаний сценарій експлуатації

Згідно з непідтвердженим описом Nightmare Eclipse, для експлуатації потрібен спеціально сконфігурований SMB-сервер, який:

  1. Обробляє запити від Windows Defender і передає підозрілий виконуваний файл (дослідник наводить приклад із Mimikatz).
  2. Починає передавати аномально великий альтернативний потік даних (наприклад, mimikatz.exe:Zone.Identifier).
  3. У певний момент припиняє відповідати на запити читання, але не розриває з’єднання.

У результаті, за словами дослідника, Defender продовжує записувати дані на диск навіть після збою обробки об’єкта, доки вільний простір не буде повністю вичерпано. Операційна система при цьому, ймовірно, продовжує працювати, однак заповнений диск спричиняє численні збої застосунків і системних служб.

Ступінь достовірності та позиція Microsoft

Слід враховувати суттєві обмеження під час оцінки цієї інформації:

  • Опис нового вектора атаки походить з єдиного джерела — блогу дослідника й не підтверджений незалежними експертами.
  • Microsoft на момент публікації не підтвердила описану поведінку Defender і не відповіла на запити ЗМІ щодо цього питання.
  • Деталі ланцюжка експлуатації через SMB і необмежений запис ADS не верифіковані первинними вендорськими джерелами.

Контекст: серія розголошень від Nightmare Eclipse

Ситуація з RoguePlanet є частиною тривалого конфлікту між дослідником і Microsoft. За наявною інформацією, Nightmare Eclipse оприлюднив інформацію про кілька уразливостей нульового дня в компонентах Windows, зокрема CVE-2026-33825 (BlueHammer), CVE-2026-41091 (RedSun), CVE-2026-45498 (UnDefend), CVE-2026-45585 (YellowKey) і CVE-2026-45586 (GreenPlasma). Дослідник звинувачує Microsoft Security Response Center в ігноруванні звітів і блокуванні його облікових записів, водночас Microsoft критикувала публікацію експлойтів до виходу патчів, але згодом заявила, що не має наміру переслідувати дослідників безпеки.

Рекомендації

  • Перевірте версію рушія: переконайтеся, що Microsoft Malware Protection Engine оновлений до версії 1.1.26060.3008 чи новішої — це закриває підтверджену вразливість CVE-2026-50656.
  • Моніторинг дискового простору: до отримання офіційної позиції Microsoft щодо ймовірної регресії налаштуйте сповіщення про критичне зменшення вільного місця на системних дисках серверів і робочих станцій.
  • Контроль SMB-трафіку: на периметрі та всередині мережі обмежте вхідні SMB-підключення лише до довірених джерел. Це зменшує ризик як для описаного сценарію, так і для багатьох інших атак через SMB.
  • Аудит карантину Defender: періодично перевіряйте розмір каталогу карантину Microsoft Defender на предмет аномального зростання.

Основна підтверджена загроза — CVE-2026-50656 — уже усунута автоматичним оновленням рушія Defender. Ймовірний побічний ефект патча у вигляді DoS через Zone.Identifier залишається непідтвердженим, базуючись лише на одній заяві. До офіційної відповіді Microsoft розумним кроком буде налаштування моніторингу дискового простору та обмеження SMB-доступу до недовірених ресурсів — ці дії корисні незалежно від того, чи підтвердиться нова проблема.


CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.