Microsoft Defender Sıfırıncı Gün 'RoguePlanet' (CVE-2026-50656, CVSS 7.8): Yetki Yükseltme, Public PoC Çıktı

7.8

CVSS 0-Day

Microsoft, Defender'da yetki yükseltmeye olanak tanıyan sıfırıncı gün açığını resmi olarak duyurdu. Race condition kullanan public PoC kod, SYSTEM yetkili komut istemcisi açıyor. 17 Haziran'da CVE atandı. Patch henüz yayımlanmadı — Microsoft hazırlık aşamasında. SYSTEM düzeyine yükseltilebilen herhangi bir initial access vektörüyle birleştirilebilir.

Microsoft 17 Haziran 2026'da Defender'da yetki yükseltme açığını resmi olarak duyurdu — RoguePlanet kod adıyla. CVE-2026-50656 olarak atandı, CVSS 7.8.

Açık, race condition kullanarak Defender servisinin komut istemcisini SYSTEM ayrıcalıklarıyla spawn etmesini sağlıyor. Public PoC kodu yayımlandı — herhangi bir initial access vektörünün (phishing, malicious doc, drive-by) hemen SYSTEM yükseltmeye dönüştürülmesi mümkün.

Microsoft yamayı hazırlıyor ancak henüz çıkmadı. Windows Defender, Windows 10, 11 ve tüm Windows Server sürümlerinde varsayılan kurulu olduğundan saldırı yüzeyi çok geniş.

Mevcut mitigasyon imkânları sınırlı: Defender'ı devre dışı bırakmak güvenlik açığı yarattığı için pratik değil. Tespit kurallarına yatırım yapmak en gerçekçi yol.

▸ ÖNERİLEN AKSİYONLAR

→ Microsoft patch çıktığı an Windows Update öncelik 1 olsun — KB numarası yayımlandığında testten geçirmeden production'a uygulayın (acil durum)

→ EDR/SIEM'de detection rule: 'MsMpEng.exe' veya 'NisSrv.exe' tarafından spawn edilen 'cmd.exe' / 'powershell.exe' süreçleri

→ Sysmon Event ID 1 (process creation) ile parent process Defender olan kurallı child process'ler için alarm

→ Phishing + drive-by initial access vektörlerine karşı kullanıcı farkındalık iletişimi yenileyin (yan-kanal etki)

▸ KAYNAK

Birincil: The Hacker News ↗

Ek: Microsoft MSRC ↗

Ek: The Hacker News ↗