Was RoguePlanet tatsächlich tut

RoguePlanet, geführt als CVE-2026-50656 mit einem CVSS-Wert von 7,8, ist eine Rechteausweitungs-Lücke in der Microsoft-Schadsoftware-Schutz-Engine, der Komponente mpengine.dll, die für Windows Defender Dateien scannt, erkennt und bereinigt. Sie missbraucht eine Time-of-Check-to-Time-of-Use-Race-Condition im Dateiverarbeitungspfad der Engine und lässt einen lokalen Angreifer mit einfachen Nutzerrechten zu SYSTEM aufsteigen, der höchsten Kontrollstufe auf der Maschine.

Der Exploit tauchte am 9. Juni als Machbarkeitsnachweis eines Autors auf, der für eine Serie jüngster Windows-Rechteausweitungs-Projekte bekannt ist, und Microsoft lieferte am 8. Juli eine außerplanmäßige Korrektur in Engine-Version 1.1.26060.3008 samt Defense-in-Depth-Härtung. Betroffen sind Windows 10 und Windows 11, was die meisten Business-Endgeräte in Europa abdeckt.

Warum eine rein lokale Lücke trotzdem zählt

Eine Rechteausweitungs-Lücke ist keine Remote-Code-Ausführung: Ein Angreifer braucht zuerst ein Standbein auf der Maschine, sie lässt also niemanden allein aus dem Internet herein. Genau deshalb landet sie leicht unter niedriger Priorität, und genau diese Einordnung ist ein Fehler.

Fast jeder echte Einbruch ist eine Kette, und der Schritt nach dem Erstzugang ist der Aufstieg zu SYSTEM. Wenn dieser Aufstieg in der Antiviren-Engine steckt, wird das Werkzeug, das den Eindringling fangen soll, zum Hebel, der ihn befördert. Unter NIS2 ist ein Vorfall, der auf eine ungepatchte, gut dokumentierte Lücke in einer zentralen Sicherheitskomponente zurückgeht, genau die Art, die ein europäischer Betreiber erklären können muss.

Was konkret zu prüfen ist

Bestätigen Sie, dass die Microsoft-Schadsoftware-Schutz-Engine auf Version 1.1.26060.3008 oder höher läuft, nicht nur, dass Windows Update diesen Monat lief. Defenders Engine-Updates kommen außerplanmäßig und laufend, die relevante Zahl ist also der Engine-Build, den Sie auf jedem Host auslesen und zentral aus Ihrer Endpunktverwaltung ziehen können.

Achten Sie besonders auf die Maschinen, bei denen Engine-Updates hinterherhinken: isolierte Server, Air-Gap-Systeme, selten geklonte Images und verwaltete Flotten, die Updates drosseln. Dort kann RoguePlanet fortbestehen, nachdem sich der Rest des Bestands längst still selbst geheilt hat, und genau dort richtet eine Ausweitungs-Lücke ihren Schaden an.