RoguePlanet: bejavították a Windows Defender veszélyes zero-day hibáját – így ellenőrizd, hogy védett-e a géped

RoguePlanet: bejavították a Windows Defender veszélyes zero-day hibáját – így ellenőrizd, hogy védett-e a géped

Mi az a RoguePlanet?

A RoguePlanet egy jogosultság-kiterjesztési (elevation of privilege) sérülékenység a Microsoft Defenderben, a Windows minden modern kiadásában alapértelmezetten telepített és bekapcsolt védelmi szoftverben. A hiba hivatalos azonosítója CVE-2026-50656, a Microsoft 7,8-as CVSS-pontszámmal, magas súlyosságúnak minősítette.

A probléma lényege egy úgynevezett versenyhelyzet (race condition) a Defender működésében: a támadó ráveheti a védelmi szoftvert, hogy egy magas jogosultságú műveletet az ő érdekében végezzen el, és így SYSTEM szintű parancssort indítson. Az irónia nyilvánvaló: a Defender épp azért fut a rendszer legmagasabb jogosultságával, hogy mindent lásson és mindentől meg tudjon védeni — ha viszont ezt a hatalmát egy támadó fel tudja használni, akkor éppen a védőből lesz a betolakodó létrája. A biztonsági kutatók megerősítése szerint az exploit teljesen frissített Windows 10 és Windows 11 rendszereken is működött, méghozzá függetlenül attól, hogy a valós idejű védelem be volt-e kapcsolva.

Fontos korlát ugyanakkor, hogy a támadónak már helyi hozzáféréssel kell rendelkeznie a géphez — a RoguePlanet önmagában nem távoli betörési módszer, hanem az a lépés, amellyel egy már bejutott támadó (például egy megnyitott kártékony fájl vagy egy hamis telepítő által bejuttatott kód) korlátozott felhasználóból teljhatalmú rendszergazdává válik. A támadási láncokban az ilyen jogosultság-kiterjesztő hibák rendkívül értékesek, mert ezek nyitják meg az utat a zsarolóvírusok telepítése, a jelszavak kinyerése és a védelmi szoftverek kikapcsolása előtt.

Ki hozta nyilvánosságra — és miért?

A RoguePlanet története legalább olyan érdekes, mint maga a hiba. A sérülékenységet egy „Nightmare Eclipse” álnéven tevékenykedő, anonim biztonsági kutató hozta nyilvánosságra 2026 júniusában — szándékosan éppen a júniusi Patch Tuesday napján —, működő bizonyító kóddal (proof-of-concept exploittal) együtt, amelyet saját üzemeltetésű Git-tárhelyen tett közzé, miután állítása szerint a Microsoft korábban eltávolíttatta az exploitjait a GitHubról és a GitLabról.

A kutató nyilvános vitában áll a Microsofttal a cég hibavadász-programjának (bug bounty) és a sérülékenység-bejelentési gyakorlatának működése miatt, és 2026 tavasza óta sorozatban publikálta a Windows zero-day exploitokat: a RoguePlanet már a hetedik volt a sorban, olyan elődök után, mint a BlueHammer és a RedSun (jogosultság-kiterjesztési hibák), a YellowKey (BitLocker-megkerülés) vagy a GreenPlasma. A helyzetet súlyosbítja, hogy a kutató korábbi eszközeit a megfigyelések szerint valós támadásokban is bevetették már a bűnözők — vagyis az általa közzétett kódok nem maradnak elméleti érdekességek.

Ez a fajta „koordinálatlan” nyilvánosságra hozatal a biztonsági szakmában erősen vitatott: a felhasználók szempontjából az eredmény az, hogy egy működő támadókód heteken át szabadon elérhető volt úgy, hogy javítás még nem létezett hozzá.

Mit lépett a Microsoft?

A Microsoft június közepén megerősítette, hogy dolgozik a javításon, majd július elején soron kívüli (out-of-band) frissítést adott ki: a javítást a Defender és a többi Microsoft-biztonsági termék lelkét adó Malware Protection Engine 1.1.26060.3008-as verziója tartalmazza. Ez a motorfrissítés nem a szokásos havi kumulatív csomaggal, hanem a Defender saját, automatikus frissítési csatornáján keresztül érkezik — tehát a legtöbb gépen már magától települt, anélkül, hogy bármit tenned kellett volna.

A Microsoft közlése szerint a hiba aktív, való világbeli kihasználását nem észlelték, ugyanakkor a cég saját besorolása szerint a kihasználás „valószínűbb” kategóriába esik — a nyilvánosan elérhető exploit miatt a biztonsági cégek egyöntetűen azt javasolják, hogy mindenki győződjön meg a folt meglétéről.

Így ellenőrizd, hogy a géped védett-e

Az ellenőrzés pár kattintás, és pontosan megmutatja, hogy a géped megkapta-e már a javított motort:

  • Kattints a Start gombra, kezdd el gépelni: Windows biztonság (Windows Security), és nyisd meg a találatot.

  • Válaszd a Vírusok és veszélyforrások elleni védelem menüpontot, és a frissítések szakaszban kattints a Frissítések keresése lehetőségre — így a Defender azonnal letölti a legújabb motort és definíciókat.

  • Ezután a Windows biztonság főablakában kattints a fogaskerék ikonra (Beállítások), majd a Névjegy (About) pontra.

  • Keresd meg a Motorverzió (Engine Version) sort. Ha az ott szereplő szám 1.1.26060.3008 vagy újabb, a géped a javított motort futtatja, tehát védett. Ha 1.1.26050.11 vagy régebbi, a rendszered még a sérülékeny motorral fut — futtasd le újra a frissítéskeresést, vagy várd meg az automatikus frissítés lefutását.

A verziószámokat balról jobbra kell összehasonlítani: az 1.1.26060.3008 azért újabb az 1.1.26050.11-nél, mert a 26060 nagyobb, mint a 26050. És a legfontosabb tanács: ha a Defendert használod, hagyd bekapcsolva az automatikus frissítést — éppen az ilyen esetek mutatják meg, miért.

Mit tanít ez az eset?

A RoguePlanet-sztori három tanulságot is hordoz. Először: a védelmi szoftver is szoftver, benne is lehetnek hibák — és mivel a legmagasabb jogosultsággal fut, a benne talált hibák különösen értékesek a támadóknak. Ettől még nem érdemes kikapcsolni a Defendert; az ilyen hibákat a gyártók jellemzően gyorsan javítják, egy védelem nélküli gép pedig összehasonlíthatatlanul kockázatosabb.

Másodszor: mivel a RoguePlanet helyi hozzáférést igényel, a legjobb védekezés az, ha a támadó be sem jut a gépedre. A legtöbb otthoni fertőzés ma is hamis telepítőkkel, álcázott letöltésekkel és adáshalász levélben érkező mellékletekkel kezdődik — arról, hogyan ismerheted fel ezeket, részletes útmutatót írtunk: így tölts le szoftvert biztonságosan 2026-ban.

Harmadszor: a frissítések naprakészen tartása nem úri passzió, hanem az alapvető digitális higiénia része. A Defender-motor mostani javítása mellett érdemes a Windows saját frissítéseit is telepíteni — a Microsoft éppen most adta ki minden idők legnagyobb havi javítócsomagját, amelyről külön cikkben írtunk részletesen.

Gyakori kérdések

Meg kell-e ijednem, ha eddig nem frissítettem?

Pánikra nincs ok: a Microsoft szerint a hiba aktív kihasználását nem észlelték, és a Defender-motor a legtöbb gépen automatikusan frissült már. Az ellenőrzés ettől függetlenül megnyugtató, és pár percet vesz igénybe — a fenti lépésekkel bármikor elvégezheted.

Harmadik féltől származó vírusirtót használok. Érint engem a hiba?

A sérülékenység a Microsoft Malware Protection Engine-t érinti, amely a Defender és más Microsoft-védelmi szolgáltatások alapja. Ha másik gyártó vírusirtója fut a gépeden, a Defender jellemzően passzív módban van, de a motor ettől még jelen lehet a rendszerben — a frissítés meglétét ilyenkor is érdemes ellenőrizni a Windows Update lefuttatásával.

Mi az a SYSTEM jogosultság, és miért baj, ha egy támadó megszerzi?

A SYSTEM a Windows legmagasabb szintű fiókja, amely még a rendszergazdánál is több mindenre jogosult: hozzáfér a védett rendszerfájlokhoz, módosíthatja a biztonsági beállításokat, és leállíthatja a védelmi szolgáltatásokat. Egy SYSTEM szintre jutott támadó gyakorlatilag bármit megtehet a gépen: jelszavakat lophat, zsarolóvírust telepíthet, vagy észrevétlen hátsó kaput építhet ki.

Javított már hasonló hibákat a Microsoft?

Igen, méghozzá ugyanettől a kutatótól többet is: a júniusi frissítések között kapott foltot többek között a YellowKey nevű BitLocker-megkerülés és a GreenPlasma jogosultság-kiterjesztési hiba is. A sorozat egyben arra is rávilágít, miért érdemes a havi frissítéseket késlekedés nélkül telepíteni.

Források: a Microsoft CVE-2026-50656 biztonsági advisory-ja, valamint a BleepingComputer, a Malwarebytes, a PCWorld, a Dark Reading, a Help Net Security és a ThreatLocker elemzései (2026. június–július). A tényeket több, egymástól független forrás alapján állítottuk össze.

0 hozzászólások

A hozzászóláshoz kérjük, jelentkezz be.