Microsoft lukker Defender‑0‑dag

Eskil Sørensen
07.10.2026 10:08
RoguePlanet gjorde det muligt at eskalere til SYSTEM via en lokal fejl i scanningmotoren

Microsoft har udsendt en sikkerhedsopdatering, der adresserer 0‑dagssårbarheden RoguePlanet, registreret som CVE‑2026‑50656. Der er tale om en lokal privilegieeskaleringsfejl (EoP) i Microsoft Malware Protection Engine, som anvendes af Microsoft Defender og beslægtede sikkerhedsprodukter.

Sårbarheden gør det muligt for en angriber med adgang til en standardbrugerkonto at eskalere rettigheder til NT AUTHORITY\SYSTEM.

Sårbarhedstype og angrebsscenarie

CVE‑2026‑50656 er klassificeret som en elevation‑of‑privilege‑sårbarhed. Udnyttelse kræver lokal adgang til systemet og en eksisterende bruger‑session uden administrative rettigheder. Der er ingen krav om brugerinteraktion ud over initial adgang, og der er ikke indikationer på komplekse afhængigheder som race conditions eller miljøspecifikke forudsætninger.

Ved succesfuld udnyttelse opnår angriberen SYSTEM‑rettigheder, hvilket giver fuld kontrol over det kompromitterede system.

Sårbarheden er lokaliseret i Microsoft Malware Protection Engine (mpengine.dll), som er den centrale komponent i Microsoft Defenders scanning og analyse.

Den samme engine anvendes i flere produkter, herunder:

  • Microsoft Defender Antivirus
  • Microsoft Defender for Endpoint
  • Andre Microsoft‑baserede sikkerhedsløsninger

Fejl i denne komponent har historisk haft høj alvorlighed, da engine kører med forhøjede privilegier og behandler ikke‑tillidsdata (filer, processer, input streams).

Patch og versionsstyring

Microsoft har løst sårbarheden ved at opdatere engine til version:

  • 1.1.26060.3008 eller nyere

Følgende versioner betragtes som sårbare:

  • 1.1.26050.11 og ældre

Opdateringen distribueres via de normale Defender‑kanaler og kræver ikke nødvendigvis en fuld systemopdatering.

Eksponering og påvirkning

Systemer er kun påvirket, hvis:

  • Microsoft Defender er aktiv
  • Malware Protection Engine er indlæst

Hvis Defender er deaktiveret, fx ved brug af tredjeparts antivirus, er den sårbare komponent ikke aktiv, og angrebsfladen via denne specifikke fejl er dermed ikke til stede.

Det er dog vigtigt at skelne mellem:

  • Inaktiv komponent (Defender deaktiveret)
  • Forældet komponent (Defender aktiv, men ikke opdateret)

Kun sidstnævnte udgør en direkte risiko i forhold til RoguePlanet.

Opdateringen distribueres løbende via Defender‑infrastrukturen. Systemer, der følger standardopdateringsmekanismer, forventes at være patched uden yderligere tiltag.

Sårbarhed