Корпорация Microsoft подтвердила наличие zero-day-уязвимости в антивирусном решении Microsoft Defender, зарегистрированной под идентификатором CVE-2026-50656. Проблема была раскрыта 16 июня 2026 года после публикации исследователем под псевдонимом NightmareEclipse рабочего proof-of-concept-эксплойта, получившего название RoguePlanet. Уязвимость относится к категории повышения привилегий (elevation of privilege) и уже привлекает внимание специалистов по безопасности из-за своей надёжности и способности обходить ключевые механизмы защиты Defender в различных конфигурациях.
Узявимость CVE-2026-50656
Согласно официальному бюллетеню Microsoft, корень проблемы - в неправильной обработке символических ссылок (CWE-59: Improper Link Resolution Before File Access). Злоумышленник, имеющий низкие привилегии локального доступа к системе, может воспользоваться этой ошибкой для эскалации прав. Вектор атаки требует только локального доступа (AV:L), низкой сложности эксплуатации (AC:L) и не требует взаимодействия с пользователем (UI:N). Уязвимости присвоен базовый показатель CVSS v3.1 7,8, что соответствует высокому уровню опасности. При успешной эксплуатации атакующий получает полный контроль над конфиденциальностью, целостностью и доступностью системы (высокие значения C, I, A).
Что делает RoguePlanet особенно тревожным - особенности поведения, зафиксированные в опубликованном PoC. В подписанном сообщении, сопровождающем эксплойт, исследователь NightmareEclipse отметил, что атака срабатывает независимо от того, включена ли защита в реальном времени (real-time protection) в Microsoft Defender. "PoC для RoguePlanet работает, независимо от того, включена защита в реальном времени или нет", - заявил исследователь. Это указывает на то, что эксплуатация происходит вне или ниже типичных слоёв обнаружения. Ранние наблюдения также допускают эффективность эксплойта при работе Defender в пассивном режиме, хотя окончательного подтверждения этому пока нет.
Механизм эксплуатации, предположительно, основан на манипуляциях с файловой системой: использования специально сформированных символических ссылок или точек соединения директорий (directory junctions). Эти методы позволяют заставить Defender обращаться к непредназначенным файлам или модифицировать их с повышенными привилегиями. Подобные техники ранее применялись в цепочках повышения привилегий, однако их успешная реализация против ключевого компонента безопасности, каким является Microsoft Defender, существенно повышает профиль риска.
На данный момент Microsoft признала существование уязвимости, но не подтвердила факты активной эксплуатации в реальных атаках. Метрика exploitability в бюллетене указана как "функциональная" (E:F), то есть рабочий код эксплойта уже доступен, что повышает срочность применения защитных мер. Патч или подробные рекомендации по устранению, помимо стандартных обновлений безопасности, пока не опубликованы, что оставляет системы потенциально уязвимыми.
Специалистам по безопасности рекомендуется усилить мониторинг подозрительной активности файловой системы, особенно связанной с созданием и обработкой символических ссылок, а также фиксировать неожиданные повышения привилегий, исходящие от процессов с низкими правами. Решения класса EDR (endpoint detection and response - системы обнаружения и реагирования на конечных точках) следует настроить на выявление аномального разрешения ссылок и несанкционированных обращений к файлам, связанным с компонентами Defender.
Раскрытие RoguePlanet подчёркивает повторяющуюся проблему безопасности конечных точек: риск, создаваемый доверенными компонентами, работающими с повышенными привилегиями. Поскольку атакующие всё чаще нацеливаются на сами средства защиты, уязвимости наподобие CVE-2026-50656 показывают, как защитные механизмы могут быть превращены в векторы атаки. Это усиливает необходимость многоуровневой защиты и оперативного развёртывания исправлений, как только они станут доступны.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-50656
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50656
- https://github.com/MSNightmare/RoguePlanet
