No Tag
Свежие записи
- Microsoft выпустила исправление для критической уязвимости нулевого дня в Defender.
- Компания Accenture подтвердила нарушение безопасности после заявлений о краже исходного кода.
- Релиз Kali Linux 2026.2 (GNOME 50, KDE 6.6, вспомогательные скрипты, форматы APT и настройка загрузки виртуальных машин)
- Релиз Kali Linux 2026.1 (тема 2026 года, новые инструменты и режим BackTrack)
- Microsoft выпустила предупреждение о безопасной загрузке в 2026 году — что это значит для безопасности Windows.
Компания Microsoft выпустила обновление безопасности для устранения серьезной уязвимости нулевого дня в Microsoft Defender, которая позволяла злоумышленникам повышать привилегии до уровня NT AUTHORITY\SYSTEM . Устранена уязвимость, которая оставалась общедоступной в течение нескольких недель после публикации в сети демонстрационного примера эксплойта.
Уязвимость, отслеживаемая как CVE-2026-50656 и известная публично как RoguePlanet , затрагивает механизм защиты от вредоносных программ Microsoft — основной компонент сканирования, используемый в антивирусе Microsoft Defender и ряде продуктов безопасности Microsoft. Вместо того чтобы ждать традиционного выпуска «патчей по вторникам», Microsoft распространила исправление через обновленный механизм защиты от вредоносных программ, подчеркнув способность компании быстро обеспечивать защиту от активно выявляемых проблем безопасности.
Эта уязвимость стала одной из самых пристально отслеживаемых проблем безопасности Windows за последние месяцы после того, как исследователь безопасности Nightmare Eclipse публично раскрыл как технические подробности, так и код эксплойта, демонстрирующий концепцию уязвимости, что вызвало возобновление дискуссий о практике раскрытия уязвимостей Microsoft, программе вознаграждения за обнаружение ошибок и отношениях с независимыми исследователями.
Хотя Microsoft признала наличие уязвимости вскоре после её обнаружения и подтвердила, что проводит расследование, компания не указала публично имя исследователя при присвоении ей идентификатора CVE, что продолжает вызывать критику в сообществе специалистов по кибербезопасности.
Экстренное обновление движка устраняет уязвимость.
Компания устранила проблему, выпустив Microsoft Malware Protection Engine версии 1.1.26060.3008 , которая исправляет базовую уязвимость в механизме сканирования Defender, используемом во всех продуктах безопасности Windows.
В отличие от многих уязвимостей Windows, для устранения которых требуются обновления операционной системы, распространяемые через Центр обновления Windows, исправление для RoguePlanet распространяется через инфраструктуру анализа угроз безопасности Defender. Системы, настроенные на автоматическое обновление Defender, в большинстве случаев должны получить исправленный движок без необходимости полного обновления операционной системы или перезагрузки.
Компания Microsoft подтвердила, что обновление движка устраняет уязвимость CVE-2026-50656, и рекомендовала администраторам проверить, что на конечных устройствах установлена последняя версия движка.
Эта модель доставки значительно сокращает время развертывания по сравнению с традиционными выпусками обновлений по вторникам, что позволяет Microsoft быстро защитить сотни миллионов устройств Windows, как только обновленный движок станет доступен.
Что такое RoguePlanet?
RoguePlanet классифицируется как уязвимость локального повышения привилегий (LPE), затрагивающая механизм защиты от вредоносных программ Microsoft Defender.
В отличие от уязвимостей, позволяющих злоумышленникам напрямую компрометировать системы по сети, RoguePlanet требует, чтобы у злоумышленника уже имелось локальное выполнение кода на целевой машине.
Однако уязвимости, позволяющие повысить привилегии, остаются одними из самых ценных инструментов в арсенале злоумышленника, поскольку они превращают ограниченный компромет в полный контроль над системой.
Согласно рекомендациям Microsoft, успешная эксплуатация позволяет повысить привилегии в механизме защиты от вредоносных программ, что дает злоумышленникам возможность выполнять код с правами SYSTEM — наивысшим уровнем полномочий, доступным в системах Windows. Microsoft присвоила уязвимости оценку CVSS 7,8 , что отражает ее высокую серьезность, несмотря на необходимость локального доступа.
Получив системные привилегии, злоумышленник может эффективно обойти большинство средств защиты операционной системы.
Возможные виды деятельности после завершения добычи включают:
Поскольку повышение привилегий обычно представляет собой второй этап сложных кибератак, уязвимости, подобные RoguePlanet, часто используются в сочетании с фишинговыми кампаниями, эксплойтами браузеров, атаками на основе документов или другими методами первоначального доступа.
Состояние гонки позволяет получить доступ к СИСТЕМЕ.
Технический анализ, опубликованный исследователем, указывает на то, что RoguePlanet возникает из-за состояния гонки в механизме защиты от вредоносных программ Microsoft Defender.
Уязвимости, связанные с состоянием гонки, возникают, когда несколько процессов или потоков одновременно обращаются к общим ресурсам без надлежащей синхронизации. При тщательно контролируемом времени выполнения злоумышленники могут заставить программное обеспечение следовать неожиданным путям выполнения, обходя предусмотренные средства защиты.
В Nightmare Eclipse описали эту уязвимость как по своей сути зависящую от момента времени.
По словам исследователя, успех эксплуатации значительно варьируется в зависимости от системы, производительности оборудования, планирования работы процессора и условий эксплуатации.
«Уязвимость основана на состоянии гонки, поэтому её использование — дело случая», — пояснил исследователь после публикации экспериментального эксплойта.
Несмотря на непостоянные требования к времени выполнения, исследователь также сообщил о достижении почти идеальной надежности на некоторых системах после усовершенствования методов эксплуатации.
Возможно, еще более тревожным является то, что последующее тестирование показало, что эксплойт работал независимо от того, была ли включена или выключена защита Defender в режиме реального времени, что указывает на существование уязвимого участка кода независимо от стандартных операций сканирования вредоносных программ.
Публичное подтверждение концепции повышает корпоративный риск.
Одним из факторов, усиливших опасения по поводу RoguePlanet, стала немедленная публикация рабочего кода эксплойта.
Вместо того чтобы в частном порядке раскрывать технические детали, пока Microsoft разрабатывала патч, Nightmare Eclipse выпустила общедоступный прототип через собственный репозиторий Git, заявив, что предыдущие репозитории, размещенные на GitHub и GitLab, были удалены.
Публичная доступность эксплойт-кода значительно снизила технический барьер для злоумышленников, стремящихся использовать уязвимость в качестве оружия.
Хотя для эксплуатации по-прежнему требуется локальный доступ, легкодоступный прототип кода позволяет злоумышленникам гораздо быстрее, чем это было бы возможно в противном случае, интегрировать повышение привилегий в более широкие цепочки атак.
Исследователи в области безопасности в целом согласны с тем, что публичная доступность эксплойтов существенно повышает организационный риск, поскольку преступным группам больше не нужно самостоятельно обнаруживать или реконструировать методы эксплуатации уязвимостей.
Компания Microsoft признала наличие уязвимости в течение нескольких дней после её обнаружения, присвоив ей идентификатор CVE-2026-50656 и подтвердив, что инженеры активно работают над её устранением.
Почему уязвимости, приводящие к повышению привилегий, имеют значение
Уязвимости, позволяющие повысить привилегии на локальном уровне, часто привлекают меньше внимания общественности, чем уязвимости, позволяющие удаленно выполнять код, однако они остаются одними из наиболее ценных возможностей для опытных злоумышленников.
Современные атаки редко основываются на какой-либо одной уязвимости.
Вместо этого злоумышленники обычно выстраивают многоступенчатые цепочки вторжений, которые начинаются с доступа с относительно низкими привилегиями, затем повышают привилегии, отключают средства защиты, собирают учетные данные и, в конечном итоге, развертывают программы-вымогатели или крадут конфиденциальную информацию.
В корпоративной среде злоумышленник, взломавший стандартную учетную запись сотрудника с помощью фишинга, может изначально обладать лишь ограниченными правами доступа.
Уязвимость, подобная RoguePlanet, может практически мгновенно снять эти ограничения, предоставляя неограниченный контроль над скомпрометированным устройством и значительно повышая способность злоумышленника избегать обнаружения, закрепляться в сети и проникать глубже в корпоративные сети.
Поскольку Microsoft Defender является платформой защиты конечных точек по умолчанию для миллионов систем Windows по всему миру, любая уязвимость, затрагивающая его основной механизм защиты, естественно, привлекает значительное внимание как со стороны защитников, так и со стороны злоумышленников.
Ответ Microsoft и патч на основе движка.
После подтверждения существования уязвимости в середине июня, Microsoft потратила несколько недель на разработку и проверку исправления, прежде чем выпустить обновленную версию механизма защиты от вредоносных программ Microsoft. В отличие от уязвимостей, требующих накопительных обновлений Windows, недостатки механизма Defender часто можно устранить независимо, что позволяет Microsoft быстрее распространять исправления безопасности через существующую инфраструктуру обновлений платформы.
Обновленный механизм, версия 1.1.26060.3008 , распространяется автоматически через обновления аналитики безопасности Microsoft Defender. Организации, использующие Microsoft Defender Antivirus, Microsoft Defender for Endpoint и другие продукты безопасности Microsoft, которые полагаются на механизм защиты от вредоносных программ, должны получить обновленный компонент автоматически, при условии, что системы настроены на загрузку обновлений аналитики безопасности.
Компания Microsoft рекомендовала администраторам убедиться в том, что на конечных устройствах установлена последняя версия движка, чтобы обеспечить защиту от уязвимости CVE-2026-50656. В управляемых корпоративных средах администраторы могут проверить версии движка с помощью консолей управления Microsoft Defender, PowerShell, Windows Security или платформ управления конечными устройствами, таких как Microsoft Intune и Microsoft Configuration Manager.
Механизм обновления на основе движка предоставляет Microsoft значительное преимущество при реагировании на уязвимости, затрагивающие сам Defender. Вместо того чтобы ждать следующего цикла обновлений Patch Tuesday, компания может распространять обновленные движки сканирования в течение нескольких часов или дней, сокращая период уязвимости для клиентов.
Хотя Microsoft признала наличие уязвимости и опубликовала соответствующее уведомление, компания предоставила относительно мало технических подробностей относительно лежащей в её основе проблемы состояния гонки. Это стандартная практика для активно используемых или публично раскрытых уязвимостей, поскольку поставщики обычно ограничивают предоставление технической информации до тех пор, пока не будут широко распространены исправления, чтобы уменьшить возможности для злоумышленников провести обратное проектирование исправлений.
Исследователь из Центра по изучению многочисленных случаев раскрытия информации в нулевой день.
RoguePlanet — не единичный случай. За последние несколько месяцев исследователь, работающий под псевдонимом Nightmare Eclipse, стал одним из самых активных независимых исследователей, публично раскрывающих уязвимости нулевого дня в Windows.
В результате их публикаций были раскрыты многочисленные компоненты Windows и технологии безопасности, некоторым из которых были присвоены уязвимости CVE, и впоследствии Microsoft выпустила для них исправления. Среди наиболее известных:
Несколько из этих уязвимостей объединяла общая тема: они были связаны с функциями безопасности Windows, предназначенными для защиты систем от взлома, а не с традиционным прикладным программным обеспечением. Поскольку уязвимости были нацелены на такие компоненты, как Microsoft Defender и BitLocker, они привлекли значительное внимание, так как успешная эксплуатация могла подорвать основные средства защиты, которым доверяют предприятия по всему миру.
В рамках июньского обновления Patch Tuesday компания Microsoft устранила уязвимости GreenPlasma, MiniPlasma и YellowKey, в то время как проблема с RoguePlanet оставалась нерешенной до выхода обновленного механизма защиты от вредоносных программ.
Скандал вокруг раскрытия информации продолжается.
Технические аспекты RoguePlanet сопровождались всё более публичным спором между Microsoft и Nightmare Eclipse по поводу практики раскрытия информации об уязвимостях.
Исследователь неоднократно критиковал подход Microsoft к обработке заявок на получение вознаграждения за обнаружение уязвимостей, утверждая, что ранее выявленные уязвимости не были должным образом учтены или вознаграждены в рамках скоординированного процесса раскрытия информации Microsoft. Согласно заявлениям, опубликованным вместе с несколькими сообщениями о выявленных уязвимостях, недовольство этим опытом повлияло на решение публично выпустить демонстрационный код эксплойта, а не следовать традиционным срокам скоординированного раскрытия информации.
Компания Nightmare Eclipse также заявила, что репозитории с демонстрацией эксплойтов были удалены с GitHub и GitLab, что побудило к публикации последующего кода, демонстрирующего концепцию, на собственной инфраструктуре. Эти заявления вызвали дискуссию в сообществе специалистов по безопасности о балансе между ответственным раскрытием информации, модерацией платформы и публичной доступностью исследований в области наступательной безопасности.
Компания Microsoft публично не комментировала конкретные обвинения, касающиеся решений по программам вознаграждения за обнаружение уязвимостей, но ранее заявляла, что оценивает сообщения об уязвимостях в соответствии с установленными внутренними критериями и призывает исследователей сообщать о проблемах безопасности через свою программу скоординированного раскрытия информации.
Компания также подчеркнула, что публичная публикация кода эксплойтов до выхода исправлений может повысить риск для клиентов, предоставляя злоумышленникам готовые методы эксплуатации уязвимостей.
Юридическое предупреждение Microsoft вызвало дискуссию.
Отношения между Microsoft и Nightmare Eclipse стали еще более напряженными после заявлений компании, предупреждающих о возможных судебных исках против лиц, занимающихся, по ее словам, злонамеренной деятельностью, которая может нанести вред клиентам.
Хотя Microsoft не назвала имя ни одного из исследователей, время публикации этих заявлений заставило многих представителей сообщества кибербезопасности предположить, что они были адресованы продолжающимся разоблачениям Nightmare Eclipse.
Эта ситуация быстро вызвала дискуссию в индустрии безопасности.
Некоторые исследователи утверждали, что публичное раскрытие информации — даже если оно вызывает споры — может ускорить реакцию поставщиков и повысить прозрачность в отношении проблем безопасности, затрагивающих миллионы пользователей. Другие же считали, что выпуск рабочего кода эксплойтов до того, как патчи станут широко доступны, неоправданно подвергает организации повышенному риску, особенно когда злоумышленники могут быстро адаптировать экспериментальный код для осуществления реальных атак.
Дискуссия отражает давний раскол в сообществе специалистов по кибербезопасности по вопросу полного раскрытия информации против скоординированного раскрытия информации об уязвимостях. Сторонники скоординированного раскрытия информации утверждают, что поставщикам следует предоставить достаточно времени для разработки и распространения исправлений, прежде чем технические подробности станут достоянием общественности. Сторонники полного раскрытия информации утверждают, что общественное давление часто способствует более быстрому устранению уязвимостей и повышению ответственности поставщиков программного обеспечения.
RoguePlanet стал одним из последних примеров, иллюстрирующих напряженность между этими конкурирующими философиями.
Оценка рисков предприятия
Несмотря на всеобщее внимание к уязвимости RoguePlanet, специалисты по безопасности, как правило, рассматривают её как возможность, возникающую после взлома, а не как первоначальный вектор доступа.
Поскольку для эксплуатации уязвимости требуется локальное выполнение кода, злоумышленники должны сначала скомпрометировать целевую систему другим способом. К распространенным методам первоначального доступа относятся фишинговые электронные письма, вредоносные загрузки, эксплуатация приложений, доступных из интернета, кража учетных данных, атаки через браузер без ведома пользователя или вредоносные скрипты, выполняемые пользователями.
После того как такая возможность будет установлена, уязвимости для повышения привилегий станут значительно более ценными.
Получение привилегий SYSTEM позволяет злоумышленникам отключать средства защиты конечных точек, фальсифицировать доказательства, получать доступ к конфиденциальным ресурсам операционной системы, манипулировать защищенными файлами и ключами реестра, устанавливать постоянные службы и расширять контроль над скомпрометированными средами.
Эти возможности особенно привлекательны для операторов программ-вымогателей, которые обычно сочетают эксплойты для повышения привилегий с инструментами кражи учетных данных и горизонтального перемещения, прежде чем развертывать зашифрованные вредоносные программы в корпоративных сетях.
Хотя Microsoft не сообщала о каких-либо доказательствах широкомасштабной эксплуатации уязвимости RoguePlanet в реальных условиях до выхода патча, публичная публикация демонстрационного кода существенно повысила вероятность того, что злоумышленники попытаются интегрировать уязвимость в существующие схемы атак.
Рекомендации по снижению рисков для организаций
Организациям, использующим Microsoft Defender, следует убедиться, что на всех конечных устройствах установлено обновленное средство защиты от вредоносных программ и используется версия 1.1.26060.3008 или более поздняя.
Администраторам следует проверить версии движка на управляемых устройствах и убедиться, что автоматические обновления информации о безопасности остаются включенными. Системы, работающие в изолированных или ограниченных сетевых средах, должны получать обновленные пакеты движка Defender с помощью утвержденных методов автономного распространения, где это необходимо.
Группам безопасности также следует продолжать мониторинг на предмет признаков повышения привилегий, включая неожиданные процессы системного уровня, несанкционированные изменения служб Microsoft Defender, необычное выполнение PowerShell или попытки отключения функций защиты конечных точек.
Поскольку RoguePlanet требует предварительного выполнения кода, поддержание надежной защиты от фишинга, кражи учетных данных, вредоносных вложений и эксплойтов в браузере остается крайне важным для предотвращения повышения привилегий злоумышленниками.
Организациям также рекомендуется внедрять принцип минимальных привилегий, развертывать средства обнаружения и реагирования на угрозы на конечных устройствах (EDR), включать защиту от несанкционированного доступа в Microsoft Defender и обеспечивать своевременное получение операционными системами обновлений безопасности Windows и обновлений движка Defender.
Более широкие уроки для индустрии безопасности
Инцидент с RoguePlanet подчеркивает несколько тенденций, формирующих современное управление уязвимостями.
Во-первых, это демонстрирует, что само программное обеспечение для обеспечения безопасности остается весьма привлекательной целью. Продукты, предназначенные для защиты систем, часто работают с повышенными привилегиями, что делает уязвимости в этих компонентах особенно привлекательными для злоумышленников, стремящихся обойти средства защиты.
Во-вторых, это подчеркивает растущую важность механизмов быстрого обновления. Возможность Microsoft распространять обновленный механизм защиты от вредоносных программ независимо от Центра обновления Windows позволила компании сократить сроки устранения неполадок для пострадавших клиентов.
Наконец, полемика вокруг Nightmare Eclipse иллюстрирует все более сложные взаимоотношения между крупными поставщиками программного обеспечения и независимыми исследователями безопасности. По мере того, как исследования уязвимостей становятся все более совершенными, а публичное раскрытие информации — все более оперативным, разногласия по поводу признания уязвимостей, вознаграждений за обнаружение ошибок, сроков раскрытия информации и правовых границ, вероятно, останутся постоянной проблемой для отрасли.
Однако для специалистов по защите предприятий приоритет остается очевидным: обеспечить своевременное развертывание обновлений движка Defender, убедиться в устранении уязвимостей в системах и продолжать мониторинг попыток повышения привилегий, которые могут указывать на более масштабную компрометацию.
После того, как RoguePlanet был исправлен, внимание, вероятно, переключится на вопрос о том, пытались ли злоумышленники использовать уязвимость в качестве оружия во время периода раскрытия информации, и какие уроки могут извлечь как Microsoft, так и всё сообщество специалистов по безопасности из одного из самых пристально отслеживаемых в этом году случаев обнаружения уязвимостей нулевого дня в Windows.