Microsoft: Επιβεβαίωση exploit RoguePlanet και έρχεται patch

Η Microsoft επιβεβαίωσε την ανακάλυψη μιας σοβαρής ευπάθειας zero-day στο Microsoft Defender, ονόματι «RoguePlanet», και ανακοίνωσε ότι εργάζεται για την ανάπτυξη μιας ενημέρωσης ασφαλείας που θα την επιδιορθώνει. Αυτή η είδηση έχει σημασία για εκατομμύρια χρήστες οι οποίοι βασίζονται σε αυτήν την προστασία για την ασφάλεια των υπολογιστών τους, ειδικά σε μια εποχή που οι κυβερνοαπειλές είναι όλο και πιο εξελιγμένες.

Η ευπάθεια, που καταχωρήθηκε ως CVE-2026-50656, δημοσιοποιήθηκε στις 16 Ιουνίου 2026 από το Κέντρο Αντίκρουσης Ασφαλείας της Microsoft (MSRC). Η βαθμολογία της στην κατηγορία CVSS ανέρχεται σε 7,8, υποδεικνύοντας ότι πρόκειται για ένα σοβαρό πρόβλημα με την ικανότητα εκμετάλλευσης του από κακόβουλους παράγοντες.

Βασικά χαρακτηριστικά του ελαττώματος είναι ότι κατατάσσεται ως ευπάθεια Elevation of Privilege (EoP), με χαρακτηριστικά CWE-59: λανθασμένη ανάλυση συνδέσμου πριν από την πρόσβαση σε αρχεία. Επηρεάζει τη μηχανή προστασίας από κακόβουλο λογισμικό του Microsoft Defender, η οποία ενσωματώνεται σε όλες τις εκδόσεις των Windows.

Η εν λόγω ευπάθεια απαιτεί μόνο χαμηλά προνόμια για να εκμεταλλευτεί, γεγονός που την καθιστά ιδιαίτερα επικίνδυνη, καθώς δεν απαιτεί αλληλεπίδραση με τον χρήστη και μπορεί να έχει υψηλό αντίκτυπο στην εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των δεδομένων. Σύμφωνα με τις ιατρικές πληροφορίες, η αξιολόγηση της αποκατάστασης αναφέρεται ως «Μη διαθέσιμη» και ο κώδικας εκμετάλλευσης χαρακτηρίζεται ως λειτουργικός, με δημόσιες αποδείξεις της λειτουργίας του.

Η δυνατότητα εκμετάλλευσης του «RoguePlanet» έγινε εμφανής νωρίς, καθώς κυκλοφόρησε για πρώτη φορά στις 10 Ιουνίου 2026, λίγες ώρες μετά την τελευταία ενημέρωση της Microsoft. Οι ερευνητές ασφαλείας που είναι γνωστοί με τα ψευδώνυμα Nightmare Eclipse και Chaotic Eclipse ήταν αυτοί που εντόπισαν το ελάττωμα και το δημοσιοποίησαν.

Το exploit εκμεταλλεύεται μια συνθήκη αγώνα Time-of-Check to Time-of-Use (TOCTOU) στη μηχανή σάρωσης σε πραγματικό χρόνο του Defender. Αυτό σημαίνει ότι καταφέρνει να παρέμβει στο σύντομο χρονικό διάστημα που μεσολαβεί μεταξύ της επαλήθευσης μίας διαδρομής αρχείου και της ενέργειας που αναλαμβάνεται σε αυτήν. Όταν η εκμετάλλευση είναι επιτυχής, δημιουργείται μια γραμμή εντολών Windows που εκτελείται με τα υψηλότερα προνόμια, δηλαδή NT AUTHORITY\SYSTEM, γεγονός που θέτει σε κίνδυνο την ασφάλεια του υπολογιστή.

Η ευπάθεια επηρεάζει τα πλήρως επιδιορθωμένα λειτουργικά συστήματα Windows 10 και Windows 11, ακόμα και τα πιο πρόσφατα, όπως την αθροιστική ενημέρωση Ιουνίου 2026 (KB5094126). Ερευνητές από την εταιρεία κυβερνοασφάλειας ThreatLocker έχουν ήδη επιβεβαιώσει τη βιωσιμότητα της εκμεταλλεύσεως σε πλήρως ενημερωμένα συστήματα.

Μια ανησυχητική λεπτομέρεια που προερχόταν από τον Nightmare Eclipse είναι ότι το PoC λειτουργεί ανεξαρτήτως της ενεργοποίησης ή απενεργοποίησης της προστασίας σε πραγματικό χρόνο του Defender, ενώ μπορεί να εκτελείται και σε παθητική λειτουργία. Οι αξιολογήσεις της αποτελεσματικότητας του exploit ενδέχεται να ποικίλλουν ανάλογα με τη συγκεκριμένη διαμόρφωση του υπολογιστή, ωστόσο ο ερευνητής εκφράζει την πεποίθηση ότι το exploit μπορεί να βελτιωθεί για να επιτύχει υψηλότερα ποσοστά επιτυχίας.

Η κοινότητα ασφαλείας προσπαθεί να ανιχνεύσει και να μπλοκάρει το PoC μέσω υπογραφών, οι οποίες μέχρι στιγμής αποδεικνύονται αρκετά αναποτελεσματικές, καθώς μικρές αλλαγές στο PoC μπορούν να παρακάμψουν εντελώς οποιαδήποτε μέτρα προφύλαξης.

Η Microsoft έχει αρχίσει να κρούει το καμπανάκι του κινδύνου, χαρακτηρίζοντας τη συγκεκριμένη ευπάθεια ως «Πιθανότερη Εκμετάλλευση» στον Δείκτη Εκμεταλλευσιμότητας της, ενώ οι επιθέσεις της πλανητικής κλίμακας ακόμη δεν έχουν παρατηρηθεί. Η εταιρεία δήλωσε: «Εργαζόμαστε για την παροχή μιας ποιοτικής ενημέρωσης ασφαλείας που θα επιλύσει την ευπάθεια».

Η Microsoft δεν έχει ακόμη ανακοινώσει συγκεκριμένη ημερομηνία για την απελευθέρωση της ενημερωμένης έκδοσης, ωστόσο έχουν υποσχεθεί ότι οι σχετικές πληροφορίες θα ενημερωθούν μόλις καταστεί διαθέσιμη η ενημέρωση ασφαλείας.