RoguePlanet-Exploit, Forscher

RoguePlanet-Exploit: Forscher umgeht Microsoft Defender auf Windows 10/ 11

10.06.2026 - 16:47:33 | boerse-global.de

Ein Zero-Day-Exploit namens RoguePlanet gefährdet vollständig gepatchte Windows-Systeme durch Rechteausweitung.

RoguePlanet-Exploit: Neue Sicherheitslücke in Microsoft Defender
RoguePlanet-Exploit - A stylized, menacing planet with glowing red fissures, amidst abstract binary code and circuit board patterns, symbolizing a zero-day exploit. 10.06.2026 - Bild: über boerse-global.de

Der Exploit mit dem Namen "RoguePlanet" erschien nur Stunden nach dem größten Patch-Day in der Geschichte von Microsoft.

Ein Sicherheitsforscher, der unter dem Pseudonym Nightmare Eclipse bekannt ist, hat heute einen neuen Zero-Day-Exploit veröffentlicht. Das Tool namens RoguePlanet zielt auf eine Schwachstelle in Microsoft Defender ab und wurde nur wenige Stunden nach den rekordverdächtigen Juni-Updates des Softwarekonzerns veröffentlicht.

Anzeige

Banking, E-Mails, Passwörter – wenn Windows-Sicherheitslücken wie RoguePlanet auftauchen, sind Ihre privatesten Daten in Gefahr. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr System mit gezielten Erste-Hilfe-Maßnahmen selbst absichern und Fehler beheben. Kostenlosen Windows-Sicherheits-Report jetzt herunterladen

Technische Details: Wie RoguePlanet funktioniert

Der Exploit nutzt eine sogenannte Race Condition in Microsoft Defender aus, um lokale Rechte auszuweiten. Gelingt der Angriff, erlangt der Angreifer SYSTEM-Rechte – die höchste Zugriffsebene auf einem Windows-Rechner. Damit ließen sich sensible Daten wie private Schlüssel oder Kryptowährungs-Wallets kompromittieren.

Besonders brisant: Der Proof-of-Concept (PoC) funktioniert auf vollständig gepatchten Windows-10- und Windows-11-Systemen – inklusive des aktuellen Updates KB5094126. Während der Exploit auf Desktop-Versionen eine hohe Erfolgsrate zeigt, ist die Wirksamkeit auf Windows-Servern umstritten. Einige Forscher berichten, dass ISO-Mounting-Beschränkungen auf Server-Editionen den aktuellen Angriffsvektor blockieren könnten.

Eskalierender Streit um Offenlegung

Die Veröffentlichung von RoguePlanet ist der jüngste Höhepunkt eines sich zuspitzenden Konflikts zwischen dem Forscher und Microsoft. Seit April 2026 hat Nightmare Eclipse mindestens sechs Windows-Zero-Day-Exploits veröffentlicht – darunter die als BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma und MiniPlasma bekannten Schwachstellen.

Der Forscher begründet die öffentlichen Veröffentlichungen mit einem Bruch im Offenlegungsprozess. Konkret wirft er Microsoft vor, vereinbarte Bug-Bounty-Zahlungen nicht geleistet und sein Meldekonto gelöscht zu haben. Microsoft soll auf frühere Veröffentlichungen reagiert haben, indem es Repositories von Plattformen wie GitHub und GitLab entfernen ließ. Zunächst drohte der Konzern sogar mit rechtlichen Schritten, nahm diese Drohung aber später zurück.

Rekord-Patch-Day und Microsofts Reaktion

Der Patch-Day am 9. Juni 2026 war einer der umfangreichsten der Firmengeschichte. Rund 200 Schwachstellen wurden geschlossen, 33 davon als kritisch eingestuft. Mehrere zuvor von Nightmare Eclipse gemeldete Lücken wurden in diesem Zyklus behoben:

  • GreenPlasma (CVE-2026-45586): Eine Rechteausweitung in CTFMON
  • YellowKey (CVE-2026-50507): Ein BitLocker-Bypass über die Windows-Wiederherstellungsumgebung (WinRE)
  • MiniPlasma (CVE-2020-17103): Eine Rechteausweitung im Cloud Files Mini Filter Driver

Als Reaktion auf die plötzliche Veröffentlichung von RoguePlanet brachte Microsoft das Defender-Definitionsupdate 1.453.20.0 heraus. Sicherheitsexperten bezeichnen diese Erkennungsaktualisierung jedoch als rudimentär – sie lasse sich vermutlich leicht umgehen.

Anzeige

Wenn das System streikt oder Sicherheits-Updates Probleme verursachen, ist schnelle Hilfe gefragt, ohne teure IT-Techniker rufen zu müssen. In diesem Gratis-Report erfahren Sie, wie Sie typische Windows-Fehler in wenigen Minuten eigenständig und sicher lösen. Erste Hilfe für Windows 11 gratis sichern

Weitere wichtige Patches im Juni-Update betrafen eine Pre-Authentication-Remote-Code-Execution-Lücke im Windows-Kernel (CVE-2026-45657) mit einem CVSS-Score von 9,8 sowie eine aktiv ausgenutzte Schwachstelle in Microsoft Exchange Server (CVE-2026-42897).

Ausblick: Weitere Exploits in Aussicht

Der Forscher hat bereits weitere Veröffentlichungen angekündigt, darunter einen möglichen Bypass für Secure Boot und eine weitere bedeutende Veröffentlichung für Mitte Juli. Aktive Ausnutzung von RoguePlanet in freier Wildbahn wurde bislang nicht gemeldet.

de | wissenschaft | 69515056 |