RoguePlanet: Zero-Day-Exploit für Defender am Patch-Tag enthüllt

Ein Sicherheitsforscher hat am Dienstag einen Zero-Day-Exploit für Microsoft Defender veröffentlicht – und zwar ausgerechnet am Tag des größten Patch-Updates der Firmengeschichte.

Der als „RoguePlanet" getaufte Exploit nutzt eine Race-Condition-Lücke aus, um auf vollständig gepatchten Windows-10- und Windows-11-Systemen SYSTEM-Rechte zu erlangen. Die Sicherheitsfirma ThreatLocker bestätigte die Funktionsfähigkeit des Exploits und reproduzierte ihn erfolgreich auf Systemen mit den Juni-Updates 2026.

Vom Netzwerkangriff zur lokalen Bedrohung

Anzeige: Der RoguePlanet-Exploit nutzt eine Race-Condition-Lücke in Defender – selbst auf vollständig gepatchten Systemen. Bevor Ihre Konkurrenz die Lücke ausnutzt, sichern Sie sich unsere Sofortmaßnahmen-Checkliste. Jetzt kostenlosen Sicherheits-Report anfordern

Die ursprünglich als Remote-Code-Execution-Lücke (RCE) über SMB-Freigaben entwickelte Schwachstelle wurde durch Microsofts Änderungen an der „mpengine!SysIO*"-API im Mai 2026 entschärft. Die Remote-Ausführung ist damit blockiert. Doch die aktuelle Version bleibt für lokale Privilegienausweitung (LPE) wirksam: Ein Angreifer mit eingeschränktem Zugriff kann so die vollständige Kontrolle über ein Zielsystem übernehmen.

Die öffentliche Veröffentlichung von RoguePlanet steht offenbar im Zusammenhang mit einem Streit zwischen dem Forscher und Microsofts Bug-Bounty-Programm. Nightmare Eclipse – so der Deckname des Forschers – veröffentlichte den Exploit am selben Tag, an dem Microsoft Patches für zwei weitere Zero-Day-Lücken bereitstellte, die er zuvor entdeckt hatte.

Rekordverdächtige Sicherheitsupdates

Der Juni-Patch-Day 2026 geht als historisch in die Annalen ein. Microsoft schloss über 200 Sicherheitslücken, darunter 32 als kritisch eingestufte Schwachstellen. Die Zahl der identifizierten Sicherheitslücken hat 2026 bereits das Gesamtvolumen des Jahres 2018 übertroffen.

Zu den behobenen Schwachstellen gehören zwei weitere Zero-Days von Nightmare Eclipse:

• GreenPlasma (CVE-2026-45586): Eine Schwachstelle zur Rechteausweitung im Windows Collaborative Translation Framework
• YellowKey (CVE-2026-50507): Ein Fehler, der Angreifern erlaubte, die BitLocker-Verschlüsselung zu umgehen

Zudem schloss Microsoft CVE-2026-41091, eine bereits aktiv ausgenutzte Schwachstelle zur Rechteausweitung in Defender.

Anzeige: Die Rekordzahl von über 200 Juni-Updates überfordert IT-Teams. Unser Report liefert eine Priorisierungsmatrix für die 32 kritischen Lücken – inklusive Schritt-für-Schritt-Anleitung zur Erkennung von LPE-Angriffen. Sicherheits-Report jetzt herunterladen

Kritische Netzwerklücken

Neben dem Defender-Zero-Day offenbarte das Juni-Update mehrere kritische Remote-Code-Execution-Lücken. Dazu gehören CVE-2026-47291 in HTTP.sys und CVE-2026-44815 im DHCP-Client – beide mit einem CVSS-Schweregrad von 9,8. Eine weitere Schwachstelle im Windows-Kernel (CVE-2026-45657) gilt als „wurmfähig": Sie könnte sich ohne Benutzereingriff über Netzwerke verbreiten.

Bereits Anfang Juni erschütterte die „HTTP/2 Bomb" (CVE-2026-49975) die Sicherheitswelt. Diese Denial-of-Service-Lücke betrifft große Webserver wie NGINX, Apache und Microsoft IIS. Branchenberichten zufolge kann ein Angreifer mit einer 100-Mbit/s-Verbindung in 20 Sekunden rund 32 GB Server-RAM erschöpfen. Obwohl NGINX und Apache in den vergangenen Monaten Gegenmaßnahmen veröffentlichten, sind schätzungsweise 880.000 Websites weiterhin potenziell gefährdet.

de | wissenschaft | 69511628 |