Co RoguePlanet naprawdę robi
RoguePlanet, zarejestrowany jako CVE-2026-50656 z oceną CVSS 7,8, to luka podniesienia uprawnień w silniku ochrony przed złośliwym oprogramowaniem Microsoftu, komponencie mpengine.dll, który dla Windows Defendera skanuje, wykrywa i czyści pliki. Nadużywa sytuacji wyścigu typu time-of-check to time-of-use w ścieżce przetwarzania plików silnika i pozwala lokalnemu napastnikowi ze zwykłymi uprawnieniami wspiąć się do SYSTEM, najwyższego poziomu kontroli na maszynie.
Exploit pojawił się 9 czerwca jako dowód słuszności koncepcji od autora znanego z serii ostatnich projektów podniesienia uprawnień w Windowsie, a Microsoft dostarczył 8 lipca poprawkę poza cyklem w wersji silnika 1.1.26060.3008 wraz z utwardzeniem obrony w głąb. Dotyczy Windows 10 i Windows 11, co obejmuje większość firmowych urządzeń końcowych w Europie.
Dlaczego czysto lokalna luka i tak ma znaczenie
Luka podniesienia uprawnień to nie zdalne wykonanie kodu: napastnik potrzebuje najpierw przyczółka na maszynie, więc sama w sobie nie wpuszcza nikogo z internetu. Dlatego łatwo ją odłożyć jako niski priorytet, i dlatego to odłożenie jest błędem.
Niemal każde prawdziwe włamanie to łańcuch, a krokiem po pierwszym dostępie jest eskalacja do SYSTEM. Gdy ta eskalacja mieszka w silniku antywirusowym, narzędzie, które ma złapać intruza, staje się dźwignią, która go awansuje. Pod NIS2 incydent, który wraca do niezałatanej, dobrze udokumentowanej luki w centralnym komponencie bezpieczeństwa, to dokładnie taki, który europejski operator musi umieć wyjaśnić.
Co konkretnie sprawdzić
Potwierdź, że silnik ochrony przed złośliwym oprogramowaniem Microsoftu jest w wersji 1.1.26060.3008 lub nowszej, a nie tylko że Windows Update uruchomił się w tym miesiącu. Aktualizacje silnika Defendera przychodzą poza cyklem i na bieżąco, więc istotną liczbą jest wersja silnika, którą możesz odczytać na każdym hoście i pobrać centralnie z zarządzania urządzeniami końcowymi.
Zwróć największą uwagę na maszyny, gdzie aktualizacje silnika się opóźniają: odizolowane serwery, systemy air-gap, obrazy klonowane rzadko i zarządzane floty, które dławią aktualizacje. Na nich RoguePlanet może przetrwać po tym, jak reszta parku po cichu sama się wyleczyła, i właśnie tam luka eskalacji czyni szkody.
Czytaj dalej: Kwantowy termin ukryty w twoich certyfikatach | Pierwsza platforma agentów AI, którą CISA każe pilnie załatać



