CVE-2026-50656
Alvorlig

CVE-2026-50656 RoguePlanet – Windows Defender sårbarhed

Kritisk fejl i Windows Defender giver angribere fuld kontrol over din pc – patch er endnu ikke tilgængelig.

CVSS Score
7.8
Offentliggjort
16/06/2026
Patch-status
in_development
Exploit
poc_public
Tidsfrist
Patch under udvikling – opdatér straks ved frigivelse

Hvad er det?

CVE-2026-50656, også kaldet ‘RoguePlanet’, er en sårbarhed i Microsoft Malware Protection Engine – den motor, der driver Windows Defender, Microsofts indbyggede antivirusprogram. Fejlen er kategoriseret som CWE-59, hvilket betyder, at programmet kan narres til at følge en genvej (et såkaldt ‘symlink’) til et sted i systemet, det normalt ikke har adgang til. Resultatet er, at en angriber kan hæve sine egne rettigheder på computeren og opnå fuld kontrol. Sårbarheden kræver, at angriberen allerede har begrænset adgang til systemet – for eksempel som en normal bruger – men kræver hverken avancerede tekniske kundskaber eller interaktion fra dig som bruger.

Hvem rammer det?

Sårbarheden rammer alle, der bruger Microsoft Malware Protection Engine – det vil i praksis sige enhver Windows-computer med Windows Defender aktiveret. Det gælder:

  • Windows 10 og Windows 11-brugere, hjemme og på arbejdet
  • Virksomheder der bruger Microsoft Defender som primær antivirusløsning
  • Organisationer med Microsoft 365 Business eller lignende abonnementer, hvor Defender er integreret

Hvis din virksomhed bruger en tredjeparts antivirusløsning i stedet for Defender, er I sandsynligvis ikke direkte berørt af denne specifikke fejl.

Hvad kan ske?

En angriber, der allerede har fået fodfæste på én computer i dit netværk – for eksempel via phishing eller en kompromitteret medarbejderkonto – kan udnytte denne sårbarhed til at:

  • Overtage fuld kontrol over den ramte computer, inklusive adgang til alle filer og indstillinger
  • Installere skadelig software (malware, ransomware) uden at blive opdaget
  • Deaktivere sikkerhedsprogrammer, herunder selve Windows Defender
  • Sprede sig videre i netværket til andre computere og systemer
  • Stjæle fortrolige data, fx kundeoplysninger, adgangskoder og forretningshemmeligheder

Da angrebet ikke kræver din interaktion, kan det ske helt uden at du opdager det.

Hvor alvorligt er det?

Microsoft har vurderet denne sårbarhed til en CVSS-score på 7.8 ud af 10, hvilket klassificeres som Alvorlig (High). Konsekvenserne for fortrolighed, integritet og tilgængelighed er alle vurderet til ‘høj’. Det betyder, at et vellykket angreb kan give fuld kontrol over systemet. Det mildnende element er, at angriberen skal have en form for eksisterende adgang til computeren – det er altså ikke et angreb, der kan udføres direkte fra internettet uden forudgående kompromittering. Ikke desto mindre er truslen alvorlig, da mange angreb netop starter med at etablere begrænset adgang og derefter eskalere rettigheder præcis som denne sårbarhed muliggør. Der er endnu ingen tilgængelig patch.

Hvad gør jeg nu?

Microsoft arbejder på en sikkerhedsopdatering, men den er endnu ikke frigivet. I mellemtiden bør du gøre følgende:

  1. Overvåg Microsofts sikkerhedsbulletiner tæt. Hold øje med opdateringer til CVE-2026-50656 på Microsofts officielle sikkerhedsside (msrc.microsoft.com). Aktiver eventuelt e-mailnotifikationer.
  2. Begræns brugerrettigheder. Sørg for, at medarbejdere kun har de rettigheder, de har brug for til dagligt arbejde. Administratorrettigheder bør kun gives til dem, der har et reelt behov.
  3. Styrk adgangssikkerheden. Aktivér multifaktorgodkendelse (MFA – det ekstra bekræftelsestrin ved login) på alle konti, så det er sværere for en angriber at få initial adgang.
  4. Opdatér alle øvrige systemer og programmer. Selvom Defender-patchen ikke er klar, skal al anden software holdes opdateret for at minimere angrebsfladen.
  5. Vær ekstra opmærksom på phishing. Da angriberen først skal have adgang til systemet, er phishing-mails en hyppig indgang. Gør dine medarbejdere opmærksomme på dette.
  6. Installer patchen øjeblikkeligt, når den frigives. Defender opdateres normalt automatisk, men verificér at automatisk opdatering er slået til på alle enheder.
Tidsfrist

Patch under udvikling – opdatér straks ved frigivelse

Sådan ser Auroa det

Selvom en patch endnu ikke er frigivet, bør du handle nu. Begræns brugerrettigheder på alle computere, aktiver MFA på alle konti og sørg for, at automatisk opdatering er aktiveret i Windows Update – så Defender-patchen installeres øjeblikkeligt, når Microsoft frigiver den. Auroa anbefaler, at du opretter en opgave i dag med at verificere disse indstillinger på tværs af virksomhedens enheder.

Tidslinje

16/06/2026
CVE offentliggjort af Microsoft
Microsoft offentliggør CVE-2026-50656 og bekræfter kendskab til sårbarheden i Microsoft Malware Protection Engine, omtalt som 'RoguePlanet'. Ingen patch er tilgængelig på dette tidspunkt.
16/06/2026
Sårbarhed omtalt offentligt som 'RoguePlanet'
Sikkerhedsforskere og medier begynder at omtale sårbarheden under det uofficielle navn 'RoguePlanet', hvilket øger offentlig opmærksomhed og potentielt interesse fra ondsindede aktører.
16/06/2026
Proof-of-concept tilgængeligt
Sårbarheden er offentligt beskrevet i tilstrækkelig detalje til, at erfarne angribere kan forsøge at udnytte den. Risikoen for aktiv udnyttelse stiger i takt med den offentlige tilgængelighed af tekniske detaljer.
09/07/2026
Microsoft udgiver sikkerhedspatch
Microsoft arbejder på en rettelse og vil offentliggøre opdateringen via CVE-siden og Windows Update. Holdes øje med msrc.microsoft.com for den seneste status.

Konkrete eksempler

Phishing åbner døren – RoguePlanet tager over

En medarbejder modtager en phishing-mail med en vedhæftet fil, der ser ud som en faktura. Når filen åbnes, installeres et lille program, der giver angriberen adgang til computeren med normale brugerrettigheder. Angriberen bruger derefter RoguePlanet-teknikken til at narre Windows Defender til at følge et symlink og udføre kode med systemrettigheder. På få minutter har angriberen fuld kontrol og kan installere ransomware eller eksfiltrere data – alt imens Defender er blevet deaktiveret.

Intern trussel: Utilfreds medarbejder eskalerer rettigheder

En medarbejder med adgang til virksomhedens computere, men uden administratorrettigheder, udnytter CVE-2026-50656 til at give sig selv fuld systemadgang. Med disse rettigheder kan vedkommende tilgå fortrolige HR-filer, kopiere kundedatabaser til et eksternt drev eller slette vigtige filer. Fordi angrebet foregår fra en legitim brugerkonto, er det svært at opdage i realtid.

Angriber bevæger sig sideværts i netværket

En angriber har kompromitteret én computer i virksomheden via en svag adgangskode. Fra denne computer bruger angriberen RoguePlanet til at opnå lokale administratorrettigheder og derefter stjæle lagrede legitimationsoplysninger (brugernavne og adgangskoder). Med disse kredentialer kan angriberen nu bevæge sig videre til andre systemer i netværket – fx en filserver med kundedata eller virksomhedens bogføringssystem – uden at udløse alarmer.

Ofte stillede spørgsmål

Ramte produkter

Microsoft — Malware Protection Engine

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-59

Original NVD-beskrivelse (engelsk)

Microsoft is aware of an elevation of privilege in the Microsoft Malware Protection Engine in Microsoft Defender publicly referred to as "RoguePlanet ". We are working to provide a high quality security update that addresses this vulnerability. We will provide information in this CVE when the update is available.

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-50656
Offentliggjort
16/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
in_development
Tidsfrist
Patch under udvikling – opdatér straks ved frigivelse

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.