Eine Grafik mit rotem Hintergrund, die eine digitale IT-Struktur in einem abstrakten Design darstellt. Geeignet für technische Themen.
Eine Grafik mit rotem Hintergrund, die eine digitale IT-Struktur in einem abstrakten Design darstellt. Geeignet für technische Themen.
Die Windows Defender Sicherheitslücke „RoguePlanet“ (CVE-2026-50656) beschäftigt Microsoft inzwischen den zweiten Monat in Folge. Der öffentlich verfügbare Zero-Day-Exploit erlaubt es Angreifern, sich auf vollständig gepatchten Windows-10- und Windows-11-Systemen SYSTEM-Rechte zu verschaffen – die höchste Berechtigungsstufe unter Windows.
Am 8. Juli 2026 hat Microsoft eine aktualisierte Version der Defender-Scan-Engine veröffentlicht, die die Lücke schließen soll, diese wird als nachgelegter Patch bezeichnet, nachdem eine erste Korrektur offenbar nicht ausreichte.
Warum die Schwachstelle besonders unangenehm ist, wie Sie den Patch-Stand Ihrer Systeme prüfen und welche offenen Punkte es rund um das Update gibt, lesen Sie hier.
Veröffentlicht wurde der Exploit Anfang Juni 2026 am Tag des Juni-Patchdays. Ein anonymer IT-Sicherheitsforscher legt seit März 2026 in kurzen Abständen Zero-Day-Schwachstellen in Microsoft-Produkten offen. Hintergrund ist ein öffentlich ausgetragener Streit mit Microsoft über den Umgang mit Bug-Bounty-Meldungen. Statt Schwachstellen koordiniert zu melden, veröffentlicht Nightmare Eclipse funktionsfähige Proof-of-Concept-Exploits samt Quellcode direkt im Netz. Drei der zuvor geleakten Lücken hat Microsoft mit dem Juni-Patchday geschlossen – RoguePlanet folgte unmittelbar danach als nächste offene Baustelle.
Risikobewertung der Lücke: „hoch“
Fehlerhafte Link-Auflösung, kombiniert mit einer Race Condition
Höchste Berechtigungsstufe unter Windows als Ziel des Exploits
Technisch handelt es sich bei der Windows Defender Sicherheitslücke „RoguePlanet“ CVE-2026-50656 um eine Elevation-of-Privilege-Schwachstelle (Rechteausweitung) in der Malware Protection Engine (mpengine.dll), dem zentralen Scan-Modul des Microsoft Defender.
Bewertet wird die Lücke mit einem CVSS-Score von 7,8 („hoch“). Ursache ist eine fehlerhafte Auflösung von Dateiverknüpfungen vor dem Dateizugriff (CWE-59) in Kombination mit einer Race Condition: Der Exploit nutzt ein enges Zeitfenster aus, in dem die mit höchsten Rechten laufende Scan-Engine auf Dateien zugreift, und startet darüber eine Eingabeaufforderung mit SYSTEM-Rechten.
Ein Angreifer, der bereits ein normales Benutzerkonto kontrolliert – etwa nach einer erfolgreichen Phishing-Attacke – kann durch die IT-Sicherheitslücke in Windows Defender die vollständige Kontrolle über das System übernehmen. Administratorrechte sind dafür nicht erforderlich, eine Benutzerinteraktion ebenfalls nicht. Da der Angriff auf einer Race Condition beruht, gelingt er nicht bei jedem Versuch – laut dem Entdecker der IT-Sicherheitslücke liegt die Erfolgsquote je nach System jedoch teils bei 100 Prozent.
Der Exploit funktioniert unabhängig davon, ob der Echtzeitschutz aktiviert ist. Versuche, den Proof-of-Concept über Signaturen zu blockieren, ließen sich nach Angaben des Forschers durch kleine Anpassungen am Code umgehen – ein zuverlässiger Schutz war damit erst mit dem Patch der Engine selbst möglich.
Verwundbar sind Windows 10 und Windows 11 mit aktivem Microsoft Defender – auch dann, wenn alle aktuellen Windows-Updates installiert sind.
Der IT-Sicherheitsforscher testete den Exploit nach eigenen Angaben unter anderem auf Systemen mit vollständigem Juni-Patchstand. Kommt dagegen ein Virenschutz eines Drittherstellers zum Einsatz und ist der Defender dadurch deaktiviert, läuft die verwundbare Scan-Engine nicht – dieser Angriffsweg scheidet dann aus. Microsoft stufte die Ausnutzungswahrscheinlichkeit im Advisory von Beginn an als „Exploitation More Likely“ ein. Mehrere Sicherheitsanbieter berichten inzwischen über aktive Angriffe auf Basis der öffentlich verfügbaren Exploits.
Anders als klassische Windows-Patches wird die Korrektur nicht über ein kumulatives Update mit KB-Nummer verteilt, sondern über die automatischen Update-Mechanismen des Defenders:
Die Malware Protection Engine aktualisiert sich zusammen mit den Sicherheitsinformationen (Definitionsupdates) in der Regel ohne weiteres Zutun.
Geschützt sind Systeme ab Engine-Version 1.1.26060.3008, Versionen bis einschließlich 1.1.26050.11 gelten als verwundbar. So prüfen Sie den Stand auf einem einzelnen System:
Windows-Sicherheit öffnen (Start-Menü, „Sicherheit“ eingeben).
Unter „Viren- & Bedrohungsschutz“ im Bereich „Updates für Viren- & Bedrohungsschutz“ nach Updates suchen.
In den Einstellungen der Windows-Sicherheit den Punkt „Info“ öffnen.
Die Zeile „Modulversion“ (Engine-Version) kontrollieren: 1.1.26060.3008 oder höher bedeutet geschützt.
In verwalteten Umgebungen lässt sich der Stand zentral erheben – etwa per PowerShell mit Get-MpComputerStatus (Feld AMEngineVersion) oder über das Reporting von Microsoft Intune, Configuration Manager bzw. WSUS.
PowerShell – Engine-Version zentral abfragen
# geschützt ab Engine-Version 1.1.26060.3008 Get-MpComputerStatus | Select-Object AMEngineVersion
Wer Definitionsupdates über WSUS oder andere Kanäle verzögert oder manuell freigibt, sollte die Freigabe der neuen Engine jetzt priorisieren.
Kurz nach Veröffentlichung des Updates wurde bekannt., dass die gepatchte Engine beim Verarbeiten von Zone.Identifier-Metadaten keine Größenbegrenzung im Zwischenspeicher durchsetzen soll. Dahinter stehen sogenannte Alternate Data Streams (ADS) – kleine Zusatzinformationen, die Windows an Dateien anhängt, die aus dem Netz geladen wurden. Ein präparierter SMB-Server könnte demnach übergroße ADS-Einträge ausliefern und den Datenträger eines Zielsystems nach und nach vollständig füllen. Die Folgen einer vollen Systempartition sind bekannt: fehlschlagende Updates, abstürzende Anwendungen, im ungünstigsten Fall Startprobleme.
Der beschriebene Angriff setzt Netzwerkzugriff und spezielle Rahmenbedingungen voraus und ist deutlich schwerer auszunutzen als die ursprüngliche Rechteausweitung. Microsoft hat sich zu dem gemeldeten Verhalten bislang nicht geäußert (Stand: 15. Juli 2026), das offizielle Advisory behandelt ausschließlich die Rechteausweitung. Ein Grund, auf den Patch zu verzichten, ist die Meldung ausdrücklich nicht – ein ungepatchtes System bleibt das erheblich größere Risiko. Mit einem weiteren Engine-Update ist zu rechnen.
Der Fall zeigt zwei Dinge. Erstens: Auch Sicherheitssoftware selbst ist Angriffsfläche. Gerade weil ein Virenschutz mit höchsten Rechten tief im System arbeitet, wiegen Fehler in diesem Bereich besonders schwer. Zweitens: Patch-Management endet nicht beim monatlichen Patchday. Komponenten wie die Defender-Engine aktualisieren sich über eigene Kanäle – wer den Sicherheitsstand nur anhand installierter KB-Nummern bewertet, übersieht solche Updates systematisch.
Eine akute Gefahr für jedes Unternehmen ist RoguePlanet dabei nicht automatisch: Angreifer benötigen zunächst Zugriff auf ein Benutzerkonto, etwa über Phishing oder eingeschleuste Schadsoftware. In Kombination mit einem solchen Erstzugriff wird aus der Lücke jedoch ein direkter Weg zur vollständigen Systemübernahme. Funktionierende Update-Prozesse, ein Monitoring der Sicherheitskomponenten und das Prinzip minimaler Berechtigungen bleiben damit die wirksamsten Hebel – unabhängig vom konkreten Einzelfall.
Microsoft hat auf die Windows Defender Sicherheitslücke RoguePlanet reagiert und verteilt den Schutz automatisch über die Malware Protection Engine 1.1.26060.3008. Auf den meisten Systemen geschieht das unbemerkt – blind verlassen sollte man sich darauf nicht.
Eine kurze Kontrolle der Modulversion schafft Gewissheit; in Unternehmensumgebungen gehört sie jetzt auf die Checkliste. Offen bleibt, wie Microsoft auf die gemeldete Schwäche im Cache-Verhalten der neuen Engine reagiert – das Thema Defender-Updates dürfte IT-Verantwortliche also noch eine Weile begleiten.
Vielen Dank für Ihre Rückmeldung!
Um Ihnen ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn Sie diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn Sie Ihre Zustimmung nicht erteilen oder zurückziehen, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig aktuelle Updates aus der IT-Welt.