Neues 0-Day-Exploit „RoguePlanet" von Windows Defender gewährt Angreifern Systemzugriff

Juni 2026, und verschärft die Dringlichkeit einer bereits eskalierenden Reihe üllungen, die Windows Defender ins Visier nehmen.

Windows Defender 0-Day-Exploit „RoguePlanet" RoguePlanet ist ein lokaler Privilegien-Eskalations- (LPE) Exploit, der eine Race-Condition innerhalb der internen Verarbeitungslogik gewöhnlicher, nicht privilegierten Benutzer kann die Schwachstelle nutzen, um eine Dateioperation, die ührt wird (der mit SYSTEM-Rechten läuft), umzuleiten, Code unter Kontrolle des Angreifers auf höchstem Privilegienlevel auszuführen.

Die Ausnutzung wurde bestätigt, funktioniert auf vollständig gepatchten Windows 10- und Windows 11-Systemen, einschließlich sowohl des offiziellen stabilen Kanals als auch des Canary Insider Preview-Kanals, mit dem Patch 2026.

Technischer Hintergrund

Auch Windows Server-Installationen gelten als anfällig, doch die aktuelle PoC funktioniert in dieser Umgebung nicht, Standardbenutzer ISO-Images nicht mounten können, was eine Voraussetzung für diese spezifische Ausnutzungs-Kette ist.

Der zugrundeliegende Fehler ist ein Time-of-Check-to-Time-of-Use (TOCTOU)-Race Condition, eine Schwachstellenklasse, die Nightmare Eclipse zuvor BlueHammer-Ausnutzung (CVE-2026-33825) mit einer CVSS-Bewertung von 7,8 (High) ausgenutzt hat, die Microsoft April 2026 gepatcht wurde.

In diesem früheren Fall führte Defenders Dateiremediations-Engine privilegierte Schreiboperationen durch, ohne die Validierung, was einem Angreifer ermöglichte, NTFS-Junction-Points einzufügen, die Defenders SYSTEM-Ebene Schreibvorgänge in C:\Windows\System32 umleiteten.

Sicherheitslage und Risiko

RoguePlanet setzt eine ähnliche Strategie zur Umleitung des Angriffsverlaufs ein und zeigt, dass die Bemühungen, Defender gegen diese Angriffsart zu härten, unvollständig bleiben.

RoguePlanet ist die neueste Veröffentlichung einer wachsenden Serie, wie, das seit Anfang April 2026 bereits mindestens sieben Exploits Zusammenhang mit Defender offengelegt hat, darunter BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma und MiniPlasma.

Diese Kampagne wird ßnahme nach Auseinandersetzungen mit Microsoft bezüglich verantwortungsvoller Offenlegung und Kontenentfernungen beschrieben. Forscher Eindringungen dokumentiert, bei denen frühere Werkzeuge dieses Forschers eingesetzt wurden; BlueHammer, RedSun sowie das Tool UnDefend zur Störung Angriffsketten beobachtet. Die Erfolgsrate Umgebung.

Sicherheitslage und Risiko

Der Forscher vermerkt eine Erfolgsquote von 100 % auf bestimmten Systemen, während der Exploit auf anderen Maschinen aufgrund der inhärenten Instabilität.

Der Exploit funktioniert in seiner aktuellen Form nicht auf Windows Server, doch alle Server-Versionen gelten als anfällig für denselben zugrundeliegenden Fehler, wobei ein neu gestalteter Angriffsvektor erforderlich ist. Bis zum Zeitpunkt der Veröffentlichung hat Microsoft noch kein CVE oder eine öffentliche Warnung für RoguePlanet herausgegeben.

Angesichts der aktiven Ausnutzung früherer Nightmare-Eclipse-Werkzeuge in der Wildnis sollten Organisationen, die Windows 10- oder Windows 11-Endpunkte betreiben, diese Enthüllung als hohe Priorität betrachten und den Sicherheitsupdate-Leitfaden überprüfen. Sie uns auf