Microsoft подтвердила работу над исправлением уязвимости CVE-2026-50656 (CVSS 7.8) в Microsoft Malware Protection Engine, компоненте Microsoft Defender. Уязвимость, получившая публичное название RoguePlanet, относится к классу повышения привилегий (Elevation of Privilege) и позволяет, по данным исследователя, получить оболочку с привилегиями SYSTEM через эксплуатацию состояния гонки (race condition). Публичный PoC-эксплойт уже доступен, хотя подтверждённых случаев эксплуатации в реальных атаках на данный момент нет. Всем организациям, использующим Microsoft Defender, следует отслеживать выход обновления и применить его сразу после публикации.
Технические детали уязвимости
Согласно официальному бюллетеню MSRC, Microsoft классифицирует CVE-2026-50656 как уязвимость повышения привилегий в Microsoft Malware Protection Engine — ядре антивирусной защиты, используемом Microsoft Defender. Заявленная оценка CVSS составляет 7.8 (высокая).
Исследователь, известный под псевдонимом Chaotic Eclipse (Nightmare-Eclipse), описал RoguePlanet как эксплойт, основанный на состоянии гонки. Ключевые характеристики, заявленные исследователем (следует учитывать, что эти данные получены из единственного источника и не подтверждены независимо):
- Эксплойт использует race condition для получения оболочки с привилегиями SYSTEM
- Успешность срабатывания варьируется: по словам исследователя, на некоторых машинах удавалось добиться 100% успеха, тогда как на других эксплойт работал нестабильно
- Как сообщается, PoC функционирует вне зависимости от того, включена ли защита в реальном времени в Microsoft Defender
Важное уточнение: несмотря на то что в исходных материалах используется термин «zero-day», подтверждённых данных об активной эксплуатации CVE-2026-50656 в реальных атаках нет. Уязвимость не внесена в каталог CISA KEV. Корректнее характеризовать текущий статус как наличие публичного PoC-эксплойта.
Контекст: серия уязвимостей от одного исследователя
RoguePlanet — четвёртая уязвимость в Microsoft Defender, раскрытая Chaotic Eclipse. Предыдущие три, по имеющимся данным, уже исправлены Microsoft:
- BlueHammer — CVE-2026-33825
- UnDefend — CVE-2026-45498
- RedSun — CVE-2026-41091
Серийный характер обнаружений указывает на систематическое исследование поверхности атаки Microsoft Malware Protection Engine. Тот факт, что один исследователь за относительно короткий период выявил четыре уязвимости в одном компоненте, заслуживает внимания: это может свидетельствовать о наличии системных архитектурных проблем в данном модуле.
Оценка воздействия
Microsoft Defender является штатным антивирусным решением во всех актуальных версиях Windows и широко используется как в корпоративных средах, так и на персональных устройствах. Уязвимость в Microsoft Malware Protection Engine затрагивает потенциально огромную базу установок.
Повышение привилегий до SYSTEM — максимальный уровень доступа в Windows — позволяет атакующему полностью контролировать скомпрометированную систему: устанавливать произвольное ПО, изменять конфигурацию безопасности, извлекать учётные данные, перемещаться по сети. При этом для эксплуатации race condition, как правило, требуется локальный доступ или предварительное выполнение кода на целевой машине, что несколько снижает практический риск по сравнению с удалённо эксплуатируемыми уязвимостями.
Особую обеспокоенность вызывает заявление исследователя о том, что эксплойт работает при включённой защите в реальном времени. Если это подтвердится, стандартная конфигурация Defender не обеспечивает защиту от данной атаки.
Рекомендации
До выхода официального патча от Microsoft рекомендуется:
- Отслеживать обновления через бюллетень MSRC для CVE-2026-50656 и применить патч немедленно после его публикации. Microsoft Malware Protection Engine обычно обновляется автоматически, но в корпоративных средах с управляемыми политиками обновлений следует убедиться, что автоматическое обновление движка не заблокировано
- Усилить мониторинг попыток повышения привилегий на конечных точках. Обращать внимание на аномальные процессы, запущенные с привилегиями SYSTEM, особенно порождённые компонентами Defender (MsMpEng.exe)
- Ограничить локальный доступ к критичным системам. Поскольку эксплуатация race condition обычно требует локального выполнения кода, минимизация числа пользователей с интерактивным доступом снижает поверхность атаки
- Рассмотреть применение дополнительных средств защиты — EDR-решения с поведенческим анализом способны детектировать характерные паттерны эксплуатации состояния гонки и аномальное повышение привилегий
Учитывая наличие публичного PoC и оценку CVSS 7.8, патч для CVE-2026-50656 следует рассматривать как высокоприоритетный. Организациям, полагающимся на Microsoft Defender как на основное средство защиты конечных точек, рекомендуется настроить оповещения об обновлениях Microsoft Malware Protection Engine и обеспечить их автоматическое применение без задержек, связанных с внутренними циклами тестирования.
