Witold Kepinski - 09 juli 2026

Kritiek beveiligingslek ontdekt in Microsoft Defender

Er is een ernstig beveiligingslek aan het licht gekomen in de Microsoft Malware Protection Engine, de kernmotor achter Microsoft Defender. De kwetsbaarheid, die de publieke naam 'RoguePlanet' heeft gekregen (gekwalificeerd onder CVE-2026-50656), stelt kwaadwillenden in staat om lokale gebruikersrechten te escaleren naar het hoogste administratorniveau. Microsoft waarschuwt dat misbruik van de kwetsbaarheid 'zeer waarschijnlijk' is.

Kritiek beveiligingslek ontdekt in Microsoft Defender image

Gevaar van privilege-escalatie

Het lek heeft een CVSS-score van 7.8 (Severity: Important) gekregen en is gecategoriseerd onder CWE-59 (Link Following). Dit betekent dat een aanvaller die al (beperkte) lokale toegang heeft tot een systeem, misbruik kan maken van fouten in de manier waarop Defender tijdelijke bestanden en snelkoppelingen verwerkt. Zonder dat er interactie van een eindgebruiker vereist is, kan de aanvaller zo de volledige controle over de machine overnemen (high confidentiality, integrity en availability).

De kwetsbaarheid is inmiddels publiekelijk bekendgemaakt en er circuleert al functionele exploitcode binnen de securitygemeenschap. Hoewel er voor zover bekend nog geen actief misbruik in het wild is waargenomen, schat Microsoft de kans op exploitatie hoog in.

Getroffen versies en automatische updates

Het lek bevindt zich in de kernmodule van de antivirussoftware (mpengine.dll). Alle systemen die draaien op de Microsoft Malware Protection Engine versie 1.1.26050.11 of lager zijn kwetsbaar. Het probleem is verholpen vanaf versie 1.1.26060.3008.

Naast Windows Defender op consumenten- en enterprise-versies van Windows, zijn ook Microsoft System Center Endpoint Protection (inclusief 2012 en 2012 R2) en het oudere Microsoft Security Essentials vatbaar voor de kwetsbaarheid.

Organisaties waarbij Windows Defender via groepsbeleid volledig is uitgeschakeld, hoeven overigens niet direct te panikeren. Hoewel kwetsbaarheidsscanners de defecte binaire bestanden nog steeds op de harde schijf zullen aantreffen, bevindt de software zich in uitgeschakelde toestand niet in een exploiteerbare status.

Geen handmatige actie vereist

Ondanks de ernst van de situatie hoeven IT-beheerders en eindgebruikers in de meeste gevallen geen handmatige updates te installeren. Om effectief te blijven tegen moderne cyberdreigingen, beschikt de antimalware-software van Microsoft standaard over een ingebouwde, geautomatiseerde updatecyclus. De Malware Protection Engine wordt doorgaans maandelijks (of indien nodig vaker) geruisloos op de achtergrond bijgewerkt, terwijl malwaredefinities tot wel drie keer per dag worden vernieuwd.

Microsoft adviseert enterprise-klanten en systeembeheerders wel om via hun centrale beheeromgeving te verifiëren of de automatische uitrol van deze vitale engine-updates in hun netwerk naar behoren functioneert en of apparaten de veilige versie inmiddels hebben binnengehaald. De patch bevat naast de specifieke fix voor 'RoguePlanet' ook aanvullende defense-in-depth-verbeteringen om de algehele robuustheid van de scanner te verhogen.

Clickhouse BN + BW MSP Global BN + BW
Clickhouse BN + BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!