Lücke in Microsoft Defender erlaubt lokale Rechteausweitung auf Windows RoguePlanet verschafft SYSTEM-Rechte trotz Juni-Patchday

Mit RoguePlanet hat ein anonymer Sicherheitsforscher einen Exploit veröffentlicht, der lokalen Angreifern auf Windows 10 und Windows 11 über eine Race Condition im Defender-Echtzeitscanner SYSTEM-Rechte verschafft. Betroffen sind auch vollständig aktualisierte Systeme mit den aktuellen Juni-Updates. Ein Patch von Microsoft liegt noch nicht vor.

Ein als Nightmare Eclipse bekannter Sicherheitsforscher hat wenige Stunden nach dem Juni-Patchday einen funktionsfähigen Exploit gegen Microsoft Defenderveröffentlicht. Der Code mit dem Namen RoguePlanet zielt auf eine Race Condition im Echtzeitschutz und startet nach erfolgreichem Angriff eine Eingabeaufforderung im Kontext von NT AUTHORITY\SYSTEM. Die Schwachstelle trägt inzwischen die Kennung CVE-2026-50656. Betroffen sind vollständig aktualisierte Installationen von Windows 10 und Windows 11, darunter Systeme mit dem kumulativen Update KB5094126 aus dem Juni 2026.

Microsoft Patchday Juni 2026

Aktive Exploits und ein Zero-Day dominieren Juni-Patchday

Race Condition im Echtzeitscanner

Der Angriff nutzt ein Zeitfenster zwischen der Prüfung einer Datei und ihrer weiteren Verarbeitung durch den Defender-Scanner. In dieser Time-of-Check-to-Time-of-Use-Lücke (TOCTOU) tauscht der Exploit Inhalte aus und bringt die mit hohen Rechten laufende Scan-Komponente dazu, eine Shell als Systemkonto zu öffnen. Da es sich um eine Race Condition handelt, gelingt der Angriff nicht bei jedem Versuch. Nach Angaben des Forschers erreicht der Code auf manchen Maschinen eine Trefferquote von hundert Prozent, auf anderen Geräten bleibt das Ergebnis unzuverlässig. Ein Angreifer mit lokalem Zugang wiederholt den Vorgang jedoch so lange, bis das Zeitfenster trifft.

Vom RCE-Ansatz zur lokalen Rechteausweitung

RoguePlanet entstand ursprünglich als Remote-Code-Execution. Die frühe Variante setzte darauf, dass ein Opfer eine VHD- oder VHDX-Datei von einer entfernten SMB-Freigabe öffnet. Defender überschrieb dabei eigene Dateien, woraus sich eine Codeausführung aus der Ferne ergab. Microsoft härtete die betroffene Schnittstelle mpengine!SysIO im Mai ab und blockierte damit den Weg über Junctions. Der Forscher baute den Exploit daraufhin zur lokalen Rechteausweitung um. Auf Windows Server greift der Code in der aktuellen Form nicht, nach seiner Einschätzung bleibt das zugrunde liegende Problem dort über einen angepassten Angriffsweg aber relevant.

EUVD-2026-22643 / CVE-2026-33825

Sicherheitslücke in Microsoft Defender wird aktiv ausgenutzt

Schutzmaßnahmen für Endpunkte

Anwendungssteuerung über Allowlisting verhindert die Ausführung des Exploits. Nach Angaben von ThreatLocker, das den Fehler im eigenen Labor reproduziert hat, blockiert eine erzwungene Freigabeliste mit WDAC oder AppLocker den Start des Codes. Administratoren überwachen zusätzlich interaktive Shells und Skripthosts, die mit Systemrechten laufen und als Elternprozess MsMpEng.exe besitzen. Defender startet eine solche Shell im Normalbetrieb nicht, der Befund deutet daher auf einen Angriff hin. Belege für eine aktive Ausnutzung liegen bislang nicht vor. Frühere Exploits desselben Forschers, darunter BlueHammer und RedSun, tauchten bereits in realen Angriffsketten auf.

Update noch immer in Arbeit

Microsoft hat die Lücke am 16.06.2026 offiziell bestätigt und im Security Update Guide veröffentlicht. Der Hersteller stuft den Fehler im Microsoft Malware Protection Engine als Elevation of Privilege mit dem Schweregrad Important ein und gibt einen CVSS-Score von 7,8 an. In der Klassifizierung führt Microsoft die Schwachstelle unter CWE-59 (Improper Link Resolution Before File Access), also als Link-Following-Problem, und damit anders als die im Forscher-Code betonte Race Condition. Ein Patch steht zum Stand der Veröffentlichung dieser Meldung (22. Juni 2026) weiterhin aus. Microsoft arbeitet nach eigener Angabe an einem Sicherheitsupdate für die Schutz-Engine und nennt bislang keinen Termin, auch keine Out-of-Band-Auslieferung. Eine aktive Ausnutzung meldet der Hersteller nicht, bewertet eine Ausnutzung jedoch als wahrscheinlich. Funktionsfähiger Exploit-Code liegt öffentlich vor, eine Aufnahme in den CISA-KEV-Katalog erfolgt nicht. Nach Angaben des Forschers greift signaturbasierte Erkennung nicht zuverlässig. Kleine Anpassungen am Exploit umgehen die Signaturen, und der Angriff funktioniert auch bei deaktiviertem Echtzeitschutz. Bis zum Update bleibt Anwendungssteuerung per Allowlisting mit WDAC oder AppLocker die wirksame Maßnahme, die den Start des Exploits verhindert. Administratoren halten die Defender-Komponenten über die automatische Update-Verteilung aktuell und spielen das Engine-Update sofort nach Verfügbarkeit ein.

Fazit

RoguePlanet zielt erneut auf den Echtzeitschutz des Defenders und zeigt, dass eine TOCTOU-Lücke trotz aktueller Patches Systemrechte freigibt. Microsoft bewertet eine Ausnutzung als wahrscheinlich. Solange der Hersteller keine eigene Korrektur des Programmcodes liefert, bleibt die signaturbasierte Erkennung die einzige direkte Antwort auf den Code. Anwendungssteuerung per Allowlisting begrenzt die Wirkung des Exploits unabhängig vom Ausgang der Race Condition.

Sicherheitseinstellungen für Authentifizierung, Logging und Defender

Security Baseline für Windows Server 2025 richtig umsetzen

(ID:50871329)