Microsoft Defender daje pełną kontrolę nad Windowsem. "Wściekły haker" znów to zrobił

Przez lata Microsoft Defender był przedstawiany jako pierwsza linia obrony użytkowników systemu Windows przed cyberprzestępcami. Teraz okazuje się, że właśnie ten mechanizm może zostać wykorzystany do przejęcia pełnej kontroli nad komputerem. Co gorsza, problem nie dotyczy starych i nieaktualizowanych maszyn. Według najnowszych doniesień luka działa również na wielu komputerach z najnowszymi poprawkami zabezpieczeń.

W sieci pojawił się już gotowy exploit, który pozwala błyskawicznie zdobyć najwyższe uprawnienia systemowe. Narzędzie jest publicznie dostępne, a Microsoft nadal nie udostępnił skutecznej poprawki.

Antywirus zamienił się w furtkę do systemu

Cyberprzestępcy otrzymali do dyspozycji nowe narzędzie nazwane RoguePlanet. Wykorzystuje ono lukę odkrytą w Microsoft Defenderze przez badacza bezpieczeństwa działającego pod pseudonimem Nightmare Eclipse. Tak, to ten sam, który jakiś czas temu wypowiedział wojnę Microsoftowi i z zemsty wyszukuje i publikuje exploity, udowadniając, jak dziurawy jest Windows.

Błąd umożliwia eskalację uprawnień do poziomu administratora, a nawet uzyskanie dostępu SYSTEM, czyli najwyższego poziomu uprawnień dostępnego w systemach Windows. Taki dostęp pozwala wykonywać praktycznie dowolne operacje na komputerze, od instalacji złośliwego oprogramowania po modyfikację zabezpieczeń i przejmowanie danych użytkownika.

Według dostępnych informacji podatne są zarówno komputery z Windows 10, jak i Windows 11.

Microsoft próbował załatać problem, ale bez skutku

Luka została zgłoszona Microsoftowi w maju 2026 roku. Firma podjęła próbę ograniczenia problemu, przygotowując zmiany dla Windowsa 11. Badacze twierdzą jednak, że rozwiązanie okazało się niewystarczające. Sytuacja stała się szczególnie niepokojąca po publikacji exploita RoguePlanet. Narzędzie trafiło do publicznego obiegu na początku czerwca i niemal natychmiast zostało przetestowane przez specjalistów z firmy ThreatLocker.

Wyniki okazały się alarmujące. Na części testowanych komputerów skuteczność ataku wynosiła 100 procent. Oznacza to, że exploit za każdym razem zdobywał najwyższe uprawnienia systemowe. Na innych urządzeniach skuteczność była niższa, jednak nadal utrzymywała się na bardzo wysokim poziomie.

GitHub pełen kodu ataku

Dodatkowych kontrowersji dostarcza sposób publikacji narzędzia. Nightmare Eclipse umieścił kod źródłowy RoguePlanet w serwisie GitHub. Paradoks polega na tym, że platforma należy do Microsoftu od 2018 roku, a sam haker już raz był tam zbanowany, właśnie za publikację exploitów.

Badacz przewidywał możliwość usunięcia repozytorium, dlatego przygotował również kopie w innych lokalizacjach. Kod został opublikowany także w GitLabie oraz na prywatnych serwerach autora.

W praktyce oznacza to, że nawet usunięcie projektu z jednej platformy nie doprowadzi do zniknięcia exploita z internetu. Narzędzie zostało już rozpowszechnione i może być kopiowane bez większych ograniczeń.

Konflikt między badaczem a Microsoftem

Cała historia ma również osobisty wymiar. W maju 2026 roku Nightmare Eclipse ujawnił informacje o kilku istotnych lukach związanych z Windowsem. Niedługo później Microsoft zasugerował, że osoby publikujące szczegóły niezałatanych jeszcze błędów powinny ponosić odpowiedzialność prawną.

Stanowisko firmy wywołało falę krytyki w środowisku ekspertów ds. bezpieczeństwa. Wielu specjalistów uznało takie wypowiedzi za próbę przerzucenia odpowiedzialności na badaczy zamiast skupienia się na eliminowaniu zagrożeń. Publikacja RoguePlanet została przez część komentatorów odebrana jako odpowiedź na tę sytuację.

Dlaczego problem jest tak niebezpieczny

Największe zagrożenie wynika z faktu, że exploit wykorzystuje zaufany komponent systemu operacyjnego. Mechanizmy bezpieczeństwa często skupiają się na wykrywaniu podejrzanych aplikacji pochodzących z zewnątrz. Gdy atak wykorzystuje element dostarczony przez producenta systemu, wykrycie go staje się znacznie trudniejsze.

Dla cyberprzestępców zdobycie uprawnień SYSTEM oznacza możliwość całkowitego przejęcia komputera. Atakujący może instalować dodatkowe narzędzia, wyłączać zabezpieczenia, kraść hasła, przejmować pliki i utrzymywać trwały dostęp do urządzenia.

Eksperci podkreślają, że właśnie dlatego błędy związane z eskalacją uprawnień należą do najbardziej cenionych przez grupy zajmujące się cyberatakami.

Nie ma jeszcze skutecznej łatki

Najbardziej niepokojący pozostaje fakt, że użytkownicy nie dysponują obecnie prostym sposobem zabezpieczenia komputerów. Instalacja najnowszych aktualizacji nie gwarantuje ochrony przed RoguePlanet. Według specjalistów z ThreatLocker jedyną skuteczną metodą ograniczenia ryzyka jest wdrożenie polityki dozwolonych aplikacji. Takie rozwiązanie opiera się na białej liście programów, które mogą być uruchamiane na komputerze.