#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

SCHOCK für Windows-Nutzer! RoguePlanet macht JETZT jeden Account zum SYSTEM — trotz Juni-Patch

SCHOCK für Windows-Nutzer! RoguePlanet macht JETZT jeden Account zum SYSTEM — trotz Juni-Patch

Eigentlich soll Microsoft Defender dein Windows beschützen. Ein neuer Exploit dreht den Spieß um — und macht ausgerechnet den Virenschutz zum Einfallstor.

Forscher unter dem Namen Nightmare Eclipse haben einen Proof-of-Concept namens RoguePlanet veröffentlicht. Damit kann sich ein ganz normaler Nutzer ohne Sonderrechte zu SYSTEM hochstufen — der höchsten Rechtestufe unter Windows. Das Brisante: Der Angriff funktioniert auch auf Maschinen, die den Juni-2026-Patchday bereits installiert haben.

SO TICKT DER ANGRIFF

Hinter RoguePlanet steckt eine Race Condition — genauer ein TOCTOU-Problem (Time-of-Check to Time-of-Use). Vereinfacht: Defender prüft eine Datei und verarbeitet sie kurz danach. In dem winzigen Zeitfenster dazwischen schiebt der Angreifer eine andere Datei unter. Weil Defender selbst als SYSTEM läuft, wird der untergeschobene Code mit voller Macht ausgeführt.

Das Muster ähnelt einer im April gepatchten Lücke namens BlueHammer. RoguePlanet zeigt: Die zugrunde liegende Klasse von Fehlern ist noch nicht ausgeräumt.

WIE SCHLIMM IST ES WIRKLICH?

Zwei Dinge zur Einordnung. Erstens: Es handelt sich um eine lokale Rechteausweitung. Ein Angreifer muss also schon Code auf dem Rechner ausführen können — etwa nach einem Phishing-Klick oder über eine andere Lücke. RoguePlanet ist der zweite Schritt einer Angriffskette, kein Fernzugriff aus dem Internet.

Zweitens: Der aktuelle PoC trifft Windows 11 und 10, aber nicht Windows Server — dort fehlt eine Voraussetzung, weil Standardnutzer keine ISO-Abbilder einbinden dürfen. Die Erfolgsquote schwankt zudem je nach Maschine, weil Race Conditions naturgemäß unzuverlässig sind. Trotzdem gilt: Auf manchen Systemen klappt der Angriff zu 100 Prozent.

WAS DU JETZT TUN KANNST

Microsoft hat zum Zeitpunkt der Veröffentlichung noch keinen CVE und kein offizielles Advisory herausgegeben. Einen Patch gibt es also noch nicht. Umso wichtiger ist die Grundhygiene:

SCHRITT 1: Lokale Angriffsfläche klein halten — keine fremden Programme aus zweifelhaften Quellen, keine unbekannten Anhänge öffnen. SCHRITT 2: Standardnutzer wirklich als Standardnutzer arbeiten lassen, nicht dauerhaft als Admin. SCHRITT 3: Microsoft-Sicherheitsmeldungen im Blick behalten und den künftigen Patch sofort einspielen.

EXTRA-TIPP: Da der Angriff einen ersten Fuß auf dem System voraussetzt, ist konsequenter Schutz vor der Erstinfektion dein bester Hebel — also alles, was Phishing und Schadcode gar nicht erst durchlässt.

FAZIT: RoguePlanet ist ein unangenehmer Reminder, dass „voll gepatcht“ nicht „unangreifbar“ heißt. Panik ist unnötig, Wachsamkeit angebracht — und der Patch gehört eingeplant, sobald Microsoft liefert.

Häufige Fragen

Bin ich aus dem Internet angreifbar?
Nein. RoguePlanet ist eine lokale Rechteausweitung. Ein Angreifer muss bereits Code auf deinem Rechner ausführen können — etwa nach einem Phishing-Klick. Aus der Ferne allein lässt sich die Lücke nicht auslösen.
Hilft mein aktuelles Windows-Update?
Der veröffentlichte PoC funktioniert auch auf Systemen mit dem Juni-2026-Patch. Ein wirksamer Fix steht noch aus, weil Microsoft bislang weder CVE noch Advisory herausgegeben hat.
Ist Windows Server auch betroffen?
Mit dem aktuellen PoC nicht. Dort fehlt eine Voraussetzung des Angriffs, weil Standardnutzer keine ISO-Abbilder einbinden dürfen. Betroffen sind vor allem Windows 11 und 10.
Was ist meine beste Verteidigung bis zum Patch?
Verhindere die Erstinfektion: keine dubiosen Programme, keine unbekannten Anhänge, Standardkonten statt Dauer-Admin. Da der Angriff einen ersten Fuß im System braucht, schützt dich konsequente Vorsicht am wirksamsten.

Quellen:

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert