Mastodon Mastodon Mastodon Mastodon

RoguePlanet (CVE-2026-50656): Patch für Microsoft Defender und offene Fragen

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Microsoft hat die kritische Privilegieneskalations-Schwachstelle CVE-2026-50656 (RoguePlanet) in Microsoft Defender mit einem CVSS-Score von 7,8 behoben. Nach nicht bestätigten Angaben eines Forschers könnte der veröffentlichte Fix jedoch einen neuen Vektor für Angriffe vom Typ Denial-of-Service (DoS) geschaffen haben. Das Problem betrifft Systeme mit Windows 10 und Windows 11, und das Update der Microsoft Malware Protection Engine auf Version 1.1.26060.3008 wird automatisch installiert. Administratoren wird empfohlen, die verwendete Engine-Version zu prüfen und den freien Speicherplatz auf kritischen Systemen zu überwachen, bis Microsoft offizielle Klarstellungen veröffentlicht.

Die ursprüngliche RoguePlanet-Schwachstelle

Laut dem offiziellen Microsoft-Sicherheitsbulletin steht die Schwachstelle CVE-2026-50656 mit einer Race Condition in Microsoft Defender in Zusammenhang. Gemäß dem Eintrag in der NVD wurde die Schwachstelle mit 7,8 auf der CVSS-Skala bewertet, was einem hohen Schweregrad entspricht. Eine Ausnutzung ermöglicht eine Privilegieneskalation bis zur SYSTEM-Ebene und die Ausführung beliebigen Codes auf vollständig aktualisierten Systemen.

Exploit-Status: Für die Schwachstelle existiert ein öffentlicher PoC-Exploit, allerdings sind zum Zeitpunkt der Veröffentlichung keine bestätigten Fälle aktiver Ausnutzung in realen Angriffen bekannt. Die Schwachstelle ist nicht im CISA-KEV-Katalog aufgeführt.

Vermutete Regression: DoS-Vektor über Zone.Identifier

Neben der eigentlichen Fehlerbehebung umfasste das Update zusätzliche Schutzmechanismen. Der Forscher Nightmare Eclipse behauptet in seinem Blog, dass diese Maßnahmen einen potenziellen Vektor für DoS-Attacken geschaffen haben, der das Systemlaufwerk vollständig füllen könne. Wichtig: Diese Behauptung stützt sich ausschließlich auf eine einzelne Quelle und ist von Microsoft nicht bestätigt.

Nach Beschreibung des Forschers stellt sich der Mechanismus des Problems wie folgt dar:

  • Im Normalbetrieb begrenzt Defender die Größe der Dateien, die beim Scannen und Quarantänisieren von Objekten geschrieben werden, um ein Erschöpfen des freien Speicherplatzes zu verhindern.
  • Nach dem Update sei mutmaßlich eine Ausnahme hinzugekommen, die mit der Cloud-Komponente SpyNet und der Verarbeitung von NTFS Alternate Data Streams (ADS) des Typs Zone.Identifier zusammenhängt.
  • Zone.Identifier ist ein versteckter ADS, den Windows automatisch Dateien hinzufügt, die aus dem Internet heruntergeladen wurden, um Informationen über die Herkunft der Datei und ihre Sicherheitszone zu speichern.
  • Nach Darstellung des Forschers versucht Defender seit dem Update, eine lokale Kopie von Zone.Identifier ohne Begrenzung der Stream-Größe zu speichern.

Beschriebenes Angriffsszenario

Dem unbestätigten Bericht von Nightmare Eclipse zufolge ist für die Ausnutzung ein speziell konfigurierter SMB-Server erforderlich, der:

  1. Anfragen von Windows Defender verarbeitet und eine verdächtige ausführbare Datei bereitstellt (als Beispiel nennt der Forscher Mimikatz).
  2. Beginnt, einen ungewöhnlich großen Alternate Data Stream zu übertragen (z. B. mimikatz.exe:Zone.Identifier).
  3. Zu einem bestimmten Zeitpunkt auf Leseanforderungen nicht mehr antwortet, ohne jedoch die Verbindung zu trennen.

In der Folge, so der Forscher, schreibe Defender weiterhin Daten auf die Festplatte, selbst nachdem die Verarbeitung des Objekts fehlgeschlagen ist, bis der freie Speicherplatz vollständig aufgebraucht ist. Das Betriebssystem arbeite dabei mutmaßlich weiter, der gefüllte Datenträger führe jedoch zu zahlreichen Ausfällen von Anwendungen und Systemdiensten.

Verlässlichkeit der Angaben und Position von Microsoft

Bei der Bewertung dieser Informationen sind wesentliche Einschränkungen zu berücksichtigen:

  • Die Beschreibung des neuen Angriffsvektors stammt ausschließlich aus einer Quelle – dem Blog des Forschers – und ist nicht durch unabhängige Experten bestätigt.
  • Microsoft hat das beschriebene Verhalten von Defender zum Zeitpunkt der Veröffentlichung weder bestätigt noch Anfragen von Medien dazu beantwortet.
  • Die Details der Angriffskette über SMB und eine unbegrenzte ADS-Schreiboperation sind durch keine primären Vendor-Quellen verifiziert.

Kontext: Serie von Offenlegungen durch Nightmare Eclipse

Die Situation um RoguePlanet ist Teil eines andauernden Konflikts zwischen dem Forscher und Microsoft. Nach vorliegenden Informationen hat Nightmare Eclipse Details zu mehreren Zero-Day-Schwachstellen in Windows-Komponenten offengelegt, darunter CVE-2026-33825 (BlueHammer), CVE-2026-41091 (RedSun), CVE-2026-45498 (UnDefend), CVE-2026-45585 (YellowKey) und CVE-2026-45586 (GreenPlasma). Der Forscher wirft dem Microsoft Security Response Center vor, seine Meldungen zu ignorieren und seine Accounts zu sperren, während Microsoft die Veröffentlichung von Exploits vor Verfügbarkeit von Patches kritisierte, später aber erklärte, keine Absicht zu haben, Sicherheitsforscher zu verfolgen.

Empfehlungen

  • Version der Engine prüfen: Stellen Sie sicher, dass die Microsoft Malware Protection Engine auf Version 1.1.26060.3008 oder höher aktualisiert ist – damit wird die bestätigte Schwachstelle CVE-2026-50656 behoben.
  • Überwachung des Speicherplatzes: Bis zur offiziellen Stellungnahme von Microsoft zur vermuteten Regression sollten Warnmeldungen bei kritischem Rückgang des freien Speicherplatzes auf Systemlaufwerken von Servern und Workstations eingerichtet werden.
  • Kontrolle des SMB-Traffics: Beschränken Sie eingehende SMB-Verbindungen am Perimeter und im internen Netz auf vertrauenswürdige Quellen. Dies reduziert das Risiko sowohl für das beschriebene Szenario als auch für zahlreiche andere Angriffe über SMB.
  • Audit des Defender-Quarantäneordners: Überprüfen Sie regelmäßig die Größe des Quarantäneverzeichnisses von Microsoft Defender auf ungewöhnliches Wachstum.

Die primäre, bestätigte Bedrohung – CVE-2026-50656 – ist bereits durch das automatische Update der Defender-Engine behoben. Der mutmaßliche Nebeneffekt des Patches in Form eines DoS über Zone.Identifier bleibt eine unbestätigte Einzelbehauptung. Bis zur offiziellen Antwort von Microsoft sind die Einrichtung eines Monitorings des freien Speicherplatzes und die Beschränkung des SMB-Zugriffs auf nicht vertrauenswürdige Ressourcen sinnvolle Maßnahmen – unabhängig davon, ob sich das neue Problem bestätigt oder nicht.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.