Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Windows & Microsoft 365 11.06.2026 · 4 min Lesezeit

Microsoft Defender: Ungepatchter „RoguePlanet"-Zero-Day gewährt SYSTEM-Rechte auf Windows 10/11

Sicherheitsforscher „Nightmare Eclipse" veröffentlichte am Juni-Patchday einen funktionierenden Exploit für eine ungepatchte Race-Condition in Microsoft Defender. Der Exploit öffnet eine SYSTEM-Shell auf vollständig gepatchten Windows-10/11-Systemen – kein Patch verfügbar.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Warnmeldung zu „RoguePlanet“: Ein ungepatchter Zero-Day in Microsoft Defender ermöglicht auf vollständig aktualisierten Windows-10- und Windows-11-Systemen eine lokale Rechteausweitung bis SYSTEM.

Am 9. Juni 2026, wenige Stunden nach dem regulären Juni-Patchday von Microsoft, hat der Sicherheitsforscher „Nightmare Eclipse" einen funktionierenden Exploit-Code für eine neue, ungepatchte Schwachstelle in Microsoft Defender veröffentlicht. Der Exploit trägt den Namen RoguePlanet und ermöglicht auf vollständig gepatchten Windows-10- und Windows-11-Systemen die Eskalation der Prozessrechte auf SYSTEM-Niveau – die höchste Berechtigungsstufe unter Windows. Ein Patch von Microsoft liegt zum Zeitpunkt der Veröffentlichung nicht vor.

Die Schwachstelle: Race Condition in Microsoft Defender

Bei RoguePlanet handelt es sich um eine Race-Condition-Schwachstelle innerhalb von Microsoft Defender. Race Conditions entstehen, wenn mehrere Programmabläufe gleichzeitig auf gemeinsame Ressourcen zugreifen und die Reihenfolge der Zugriffe nicht zuverlässig kontrolliert wird. Im vorliegenden Fall nutzt der Exploit dieses Timing-Fenster, um einen normalen Benutzerprozess mit SYSTEM-Rechten auszustatten und damit eine vollständige Local Privilege Escalation (LPE) zu erreichen.

Das sichtbare Ergebnis: Eine Windows-Eingabeaufforderung öffnet sich mit SYSTEM-Berechtigungen. Der Angreifer erhält damit uneingeschränkten Zugriff auf das betroffene System. Zusätzlich wird in Sicherheitskreisen eine potenzielle Ausweitung auf Remote Code Execution (RCE) über .vhdx-Dateien auf SMB-Freigaben diskutiert, ein gesicherter Nachweis dafür liegt jedoch noch nicht vor.

RoguePlanet ist Teil einer Serie von Windows-Zero-Days, die „Nightmare Eclipse" unter den Namen BlueHammer, RedSun, GreenPlasma und YellowKey veröffentlicht hat. Das unabhängige Sicherheitsunternehmen ThreatLocker bestätigte die erfolgreiche Reproduktion des Exploits auf einem Windows-11-System mit dem kumulativen Update KB5094126. BleepingComputer und Help Net Security berichten unabhängig voneinander über den Vorfall.

Bin ich betroffen?

Die Schwachstelle betrifft alle Windows-10- und Windows-11-Systeme, auf denen Microsoft Defender als Virenschutz aktiv ist – auch dann, wenn alle verfügbaren Windows-Updates eingespielt wurden. ThreatLocker hat die Funktionsfähigkeit des Exploits auf einem vollständig gepatchten Windows-11-System mit KB5094126 bestätigt.

BetriebssystemPatch-StandBetroffen
Windows 10 (alle Editionen)vollständig gepatchtJa
Windows 11 (alle Editionen)vollständig gepatcht inkl. KB5094126Ja (bestätigt)
Microsoft Defenderaktuelle VersionJa

Eine aktive Ausnutzung in freier Wildbahn ist zum Zeitpunkt der Veröffentlichung nicht bestätigt. Da der Exploit-Code öffentlich zugänglich ist, muss mit einer zeitnahen Zunahme von Angriffsversuchen gerechnet werden. Die Schwachstelle ist derzeit lokal ausführbar und setzt voraus, dass ein Angreifer bereits Code auf dem Zielsystem ausführen kann.

Wie behebe ich das?

Ein offizieller Patch von Microsoft ist noch nicht verfügbar. Microsoft hat bestätigt, das Problem zu untersuchen. Bis zur Bereitstellung eines Fixes empfehlen Sicherheitsexperten folgende Maßnahmen:

  1. Anwendungs-Whitelisting aktivieren: Tools wie AppLocker oder Windows Defender Application Control (WDAC) können die Ausführung nicht autorisierter Prozesse einschränken und damit das Angriffsfenster erheblich verkleinern. Wie sich grundlegende Windows-Sicherheitsrichtlinien per Gruppenrichtlinie umsetzen lassen, zeigt die Anleitung Gruppenrichtlinien (GPO) – Grundlagen und Praxis.
  2. EDR-Monitoring schärfen: Endpoint Detection & Response-Lösungen sollten auf anomale SYSTEM-Prozesse überwacht werden, die von Microsoft-Defender-Komponenten initiiert werden. Erkennungsregeln sollten umgehend aktualisiert werden.
  3. Microsoft-Security-Advisories verfolgen: Sobald Microsoft ein Advisory oder einen Out-of-Band-Patch veröffentlicht, sollte dieser vorrangig eingespielt werden. Wer die Update-Verwaltung zentral steuern möchte, findet dazu Hinweise in der Anleitung Windows Updates mit WSUS und Update for Business.
  4. Lokale Benutzerrechte minimieren: Das Prinzip der minimalen Rechtevergabe (Least Privilege) reduziert den möglichen Schaden im Falle einer erfolgreichen Ausnutzung.
  5. Defender for Office 365 korrekt konfigurieren: Wer den umfassenderen Microsoft-365-Schutzstack nutzt, sollte sicherstellen, dass Defender for Office 365 korrekt konfiguriert ist, um potenziell bösartige Anhänge zu blockieren, über die ein initialer Zugang erlangt werden könnte.

Was bedeutet das für Unternehmen?

Eine ungepatchte Privilege-Escalation-Schwachstelle auf allen aktuellen Windows-Systemen ist ein ernstes Sicherheitsproblem. Besonders kritisch ist die Lage in Umgebungen mit Remote Desktop Services (RDS), Virtual Desktop Infrastructure (VDI) und Terminal-Servern, auf denen viele Nutzer gleichzeitig arbeiten: Gelingt es einem Angreifer, auf einem solchen System Code auszuführen, kann RoguePlanet diesen initialen Zugang sofort auf vollständige Systemkontrolle ausweiten.

In Kombination mit einem Remote-Code-Execution-Vektor – der diskutierte .vhdx/SMB-Pfad ist noch nicht abschließend bewertet – könnte die Schwachstelle zu einer vollständigen Kompromittierung ohne Nutzerinteraktion führen. IT-Verantwortliche sollten die Lage eng beobachten und die genannten Mitigationsmaßnahmen zeitnah umsetzen. Angesichts der öffentlichen Verfügbarkeit des Exploit-Codes ist eine Einordnung in das eigene Notfallkonzept dringend empfohlen.

Quellen

BleepingComputer: Microsoft Defender „RoguePlanet" zero-day grants SYSTEM privileges | Help Net Security: Record Microsoft Patch Tuesday, fresh zero-day

Verwandt

Weiter lesen

Alle Artikel →
Grafik zum Microsoft Patchday im Juni 2026 mit einem Rekord von 208 geschlossenen CVEs sowie einer bereits aktiv ausgenutzten Zero-Day-Schwachstelle in Microsoft Defender.
11.06.2026 ·4 min

Microsoft Patchday Juni 2026: Rekord mit 208 CVEs und aktiv ausgenutztem Defender-Zero-Day

Microsofts Juni-Patchday 2026 schließt 208 Sicherheitslücken – ein neuer Monatsrekord. Darunter ein aktiv ausgenutzter Zero-Day in Microsoft Defender sowie eine wurmfähige Kernel-Lücke mit CVSS 9,8. Sofortiges Handeln ist erforderlich.
Symbolbild: Unveränderliche Cloud-Backups schützen Microsoft-365-Daten vor Ransomware
10.06.2026 ·4 min

Microsoft Patchday Juni 2026: 198 CVEs, 32 kritisch, drei Zero-Days und wormbare Kernel-Lücke

Microsofts umfangreichster Patchday des Jahres adressiert 198 CVEs – darunter eine wormbare Windows-Kernel-Lücke mit CVSS 9.8, eine ebenso kritische HTTP.sys-Schwachstelle sowie drei öffentlich bekannte Zero-Days. IT-Abteilungen stehen unter höchstem Handlungsdruck.
Sicherheitsschild vor Serverrack symbolisiert kritisches Patch-Update mit Deadline
09.06.2026 ·4 min

Microsoft Patch Tuesday Juni 2026: Secure-Boot-Deadline und Exchange-Zero-Day im Fokus

Der Patch Tuesday Juni 2026 steht unter doppeltem Zeitdruck: Secure-Boot-Zertifikatsupdates müssen bis 26. Juni eingespielt sein, sonst drohen Boot-Fehler. Zudem enthält das Paket den dauerhaften Patch für Exchange-Zero-Day CVE-2026-42897 (CVSS 8.1, aktiv ausgenutzt seit Mai).