Microsoft підтвердила, що працює над виправленням вразливості CVE-2026-50656 (CVSS 7.8) у Microsoft Malware Protection Engine, компоненті Microsoft Defender. Вразливість, що отримала публічну назву RoguePlanet, належить до класу підвищення привілеїв (Elevation of Privilege) і, за даними дослідника, дає змогу отримати оболонку з привілеями SYSTEM шляхом експлуатації стану гонки (race condition). Публічний PoC-експлойт уже доступний, хоча підтверджених випадків експлуатації в реальних атаках наразі немає. Усім організаціям, які використовують Microsoft Defender, слід відстежувати вихід оновлення та застосувати його відразу після публікації.
Технічні деталі вразливості
Згідно з офіційним бюлетенем MSRC, Microsoft класифікує CVE-2026-50656 як вразливість підвищення привілеїв у Microsoft Malware Protection Engine — ядрі антивірусного захисту, що використовується Microsoft Defender. Заявлена оцінка CVSS становить 7.8 (висока).
Дослідник, відомий під псевдонімом Chaotic Eclipse (Nightmare-Eclipse), описав RoguePlanet як експлойт, що ґрунтується на стані гонки. Ключові характеристики, заявлені дослідником (варто враховувати, що ці дані отримано з єдиного джерела й їх не підтверджено незалежно):
- Експлойт використовує race condition для отримання оболонки з привілеями SYSTEM
- Успішність спрацювання варіюється: за словами дослідника, на деяких машинах вдавалося досягти 100% успіху, тоді як на інших експлойт працював нестабільно
- За повідомленням автора, PoC функціонує незалежно від того, увімкнено чи ні захист у реальному часі в Microsoft Defender
Важливе уточнення: попри те, що в початкових матеріалах використовується термін «zero-day», підтверджених даних про активну експлуатацію CVE-2026-50656 у реальних атаках немає. Вразливість не внесено до каталогу CISA KEV. Коректніше характеризувати поточний статус як наявність публічного PoC-експлойта.
Контекст: серія вразливостей від одного дослідника
RoguePlanet — четверта вразливість у Microsoft Defender, розкрита Chaotic Eclipse. Попередні три, згідно з наявними даними, уже виправлено Microsoft:
- BlueHammer — CVE-2026-33825
- UnDefend — CVE-2026-45498
- RedSun — CVE-2026-41091
Серійний характер виявлених проблем указує на систематичне дослідження поверхні атаки Microsoft Malware Protection Engine. Той факт, що один дослідник за відносно короткий період виявив чотири вразливості в одному компоненті, заслуговує на увагу: це може свідчити про наявність системних архітектурних проблем у цьому модулі.
Оцінка впливу
Microsoft Defender є штатним антивірусним рішенням в усіх актуальних версіях Windows і широко використовується як у корпоративних середовищах, так і на персональних пристроях. Вразливість у Microsoft Malware Protection Engine потенційно зачіпає величезну базу встановлень.
Підвищення привілеїв до SYSTEM — максимального рівня доступу в Windows — дає змогу зловмиснику повністю контролювати скомпрометовану систему: встановлювати довільне ПЗ, змінювати конфігурацію безпеки, отримувати облікові дані, пересуватися мережею. Водночас для експлуатації race condition, як правило, потрібен локальний доступ або попереднє виконання коду на цільовій машині, що дещо знижує практичний ризик порівняно з віддалено експлуатованими вразливостями.
Особливе занепокоєння викликає заява дослідника про те, що експлойт працює за увімкненого захисту в реальному часі. Якщо це підтвердиться, стандартна конфігурація Defender не забезпечує захисту від цієї атаки.
Рекомендації
До виходу офіційного патча від Microsoft рекомендується:
- Відстежувати оновлення через бюлетень MSRC для CVE-2026-50656 і застосувати патч одразу після його публікації. Microsoft Malware Protection Engine зазвичай оновлюється автоматично, але в корпоративних середовищах з керованими політиками оновлень слід упевнитися, що автоматичне оновлення рушія не заблоковано
- Посилити моніторинг спроб підвищення привілеїв на кінцевих точках. Звертати увагу на аномальні процеси, запущені з привілеями SYSTEM, особливо породжені компонентами Defender (MsMpEng.exe)
- Обмежити локальний доступ до критичних систем. Оскільки експлуатація race condition зазвичай потребує локального виконання коду, мінімізація кількості користувачів з інтерактивним доступом зменшує поверхню атаки
- Розглянути використання додаткових засобів захисту — EDR-рішень із поведінковим аналізом, які здатні виявляти характерні патерни експлуатації стану гонки та аномальне підвищення привілеїв
З огляду на наявність публічного PoC і оцінку CVSS 7.8, патч для CVE-2026-50656 слід розглядати як високопріоритетний. Організаціям, які покладаються на Microsoft Defender як на основний засіб захисту кінцевих точок, рекомендовано налаштувати сповіщення про оновлення Microsoft Malware Protection Engine та забезпечити їх автоматичне застосування без затримок, пов’язаних із внутрішніми циклами тестування.
