Cybersecurity

Microsoft Defender: το κενό που μπορεί να δώσει SYSTEM και τι να κάνεις τώρα

Η Microsoft διόρθωσε ένα σοβαρό κενό στο Defender που μπορεί να δώσει SYSTEM δικαιώματα. Αν χρησιμοποιείς Windows 11 ή μικρό εταιρικό δίκτυο, υπάρχουν μερικά βήματα που πρέπει να κάνεις άμεσα.

Αν έχεις Windows σε σπίτι ή γραφείο, αυτή είναι από εκείνες τις διορθώσεις που δεν πρέπει να περάσουν στα ψιλά. Η Microsoft έκλεισε ένα σοβαρό κενό στο Defender, γνωστό ως RoguePlanet, που μπορούσε να δώσει σε επιτιθέμενο δικαιώματα SYSTEM. Με απλά λόγια: αν κάποιος έβρισκε τρόπο να το εκμεταλλευτεί, θα μπορούσε να ανέβει πολύ ψηλά μέσα στο σύστημα, να παρακάμψει προστασίες και να ανοίξει δρόμο για εγκατάσταση κακόβουλου λογισμικού ή επίμονη πρόσβαση.

Δεν μιλάμε για ένα θεωρητικό πρόβλημα που αφορά μόνο μεγάλες εταιρείες. Τέτοια κενά γίνονται πολύ πιο επικίνδυνα όταν συνδυάζονται με phishing, μολυσμένα συνημμένα, ψεύτικα installers ή κακόβουλα links που φτάνουν σε inbox υπαλλήλων και οικιακών χρηστών. Για μικρές επιχειρήσεις, ειδικά όσες βασίζονται σε Microsoft 365, η εικόνα γίνεται ακόμη πιο ευαίσθητη: ένα λάθος κλικ αρκεί για να ξεκινήσει η αλυσίδα.

Γιατί το RoguePlanet δεν είναι ένα «ακόμα update»

Το πρόβλημα αφορά το Microsoft Malware Protection Engine, το κομμάτι του Defender που κάνει scanning, detection και cleanup. Όταν ένα κενό βρίσκεται εκεί, δεν μιλάμε για απλή εφαρμογή τρίτου κατασκευαστή που βγάζεις και ξαναβάζεις. Μιλάμε για μηχανισμό που δουλεύει βαθιά μέσα στην άμυνα του συστήματος. Αν σπάσει εκεί η αλυσίδα εμπιστοσύνης, ο επιτιθέμενος κερδίζει πολύ πιο χρήσιμο έδαφος από ένα απλό pop-up ή μια αποτυχημένη προσπάθεια εγκατάστασης.

Το RoguePlanet καταγράφεται ως CVE-2026-50656 με υψηλή σοβαρότητα. Το πρακτικό νόημα για τον χρήστη δεν είναι ο αριθμός. Είναι το εξής: αν το Windows PC σου έχει μείνει πίσω σε ενημερώσεις, αν ανοίγεις έγγραφα από άγνωστες πηγές ή αν ένα εταιρικό endpoint μένει εκτεθειμένο επειδή δεν ελέγχεται σωστά, τότε μια ευπάθεια σαν κι αυτή μπορεί να λειτουργήσει σαν εσωτερική κερκόπορτα.

Ποιοι επηρεάζονται περισσότερο στην Ελλάδα

Στην πράξη, περισσότερο εκτεθειμένοι είναι όσοι χρησιμοποιούν Windows σε περιβάλλον με email, αρχεία Office και κοινόχρηστα δίκτυα: λογιστήρια, μικρά τεχνικά γραφεία, τουριστικές επιχειρήσεις, καταστήματα με έναν βασικό σταθμό εργασίας και αρκετούς υπαλλήλους, αλλά και οικιακοί χρήστες που δουλεύουν από το ίδιο PC για χρόνια χωρίς καθαρή πολιτική ενημερώσεων.

Αν ο υπολογιστής σου είναι συνδεδεμένος σε Microsoft 365, Outlook, OneDrive ή εταιρικούς λογαριασμούς, το ρίσκο δεν σταματά στη συσκευή. Ένα πλήρως παραβιασμένο Windows μηχάνημα μπορεί να γίνει σκαλοπάτι για κλοπή κωδικών, πρόσβαση σε email, μεταφορά αρχείων και παραπλανητικά μηνύματα προς συνεργάτες ή πελάτες. Εκεί το πρόβλημα παύει να είναι καθαρά τεχνικό και γίνεται επιχειρησιακό.

Τι να ελέγξεις σήμερα στο Windows PC

Το πρώτο βήμα είναι απλό: άφησε τα Windows Update να ολοκληρώσουν όλες τις εκκρεμότητες. Μην αρκεστείς σε ένα μόνο restart. Μερικές διορθώσεις για Defender και security components φτάνουν στον υπολογιστή μαζί με διαδοχικά updates και χρειάζονται επανεκκίνηση για να ενεργοποιηθούν σωστά.

Έπειτα, άνοιξε το Windows Security και δες αν το Defender δουλεύει κανονικά, αν είναι ενεργό το cloud-delivered protection και αν το tamper protection παραμένει ανοιχτό. Για μικρή επιχείρηση, αξίζει να γίνεται και ένας γρήγορος έλεγχος σε όλα τα endpoints: αν κάποιο PC έχει μείνει σε παλιότερη έκδοση ή έχει απενεργοποιημένες προστασίες «για να μην ενοχλεί», αυτό είναι το μηχάνημα που θα βρουν πρώτα οι επιτιθέμενοι.

Αν χειρίζεσαι δεδομένα πελατών ή οικονομικά αρχεία, βάλε και ένα δεύτερο επίπεδο: backup που δεν μένει μόνιμα συνδεδεμένο, ξεχωριστούς λογαριασμούς χρηστών χωρίς admin δικαιώματα και ενεργό MFA στους cloud λογαριασμούς. Το SYSTEM privilege escalation από μόνο του δεν σημαίνει ότι ο λογαριασμός σου έχει χαθεί. Σημαίνει όμως ότι ο επιτιθέμενος μπορεί να φτάσει πολύ πιο κοντά.

Το άλλο μισό του προβλήματος είναι το phishing

Η διόρθωση του Defender δεν ακυρώνει το βασικό μοτίβο που βλέπουμε ξανά και ξανά: κάποιος πρέπει να πειστεί να ανοίξει κάτι. Τα vishing και τα fake security requests που στοχεύουν χρήστες Microsoft 365, ειδικά γύρω από passkeys και Entra enrollment, δείχνουν ότι οι απατεώνες δεν κυνηγούν μόνο κωδικούς. Κυνηγούν και την παράκαμψη της ίδιας της διαδικασίας ασφάλειας.

Αυτό είναι κρίσιμο για όποιον νομίζει ότι «έχω 2FA, είμαι οκ». Το 2FA βοηθά, αλλά δεν αρκεί όταν ο επιτιθέμενος σε πείθει να εγκρίνεις εσύ ο ίδιος μια ενέργεια, να περάσεις ένα ψεύτικο enrollment ή να αποδεχθείς μια αλλαγή ασφαλείας που μοιάζει νόμιμη. Για αυτό χρειάζεται προσοχή σε τηλεφωνήματα, σε αιτήματα για νέα passkey, σε μηνύματα που πιέζουν για άμεση δράση και σε links που οδηγούν σε σελίδες login εκτός των συνηθισμένων σου σημείων πρόσβασης.

Πρακτικό checklist για σπίτι και μικρή επιχείρηση

  • Κάνε όλες τις εκκρεμείς ενημερώσεις των Windows και επανεκκίνηση.
  • Μην απενεργοποιείς το Microsoft Defender ή άλλες βασικές προστασίες για «ευκολία».
  • Έλεγξε ότι κάθε χρήστης έχει δικό του account χωρίς admin δικαιώματα.
  • Κράτα ενεργό το MFA σε Microsoft 365, email, cloud backup και banking.
  • Μην εγκρίνεις νέο passkey ή security enrollment από τηλεφώνημα ή link που έλαβες απρόσμενα.
  • Απομόνωσε παλιά PCs που δεν ενημερώνονται σωστά ή δεν υποστηρίζονται πια.
  • Κράτα offline ή versioned backup για να αντέξεις ransomware ή μαζική αλλοίωση αρχείων.

Αν είσαι επαγγελματίας IT ή διαχειρίζεσαι λίγους εταιρικούς υπολογιστές, βάλε προτεραιότητα σε inventory και patching. Σε μικρά περιβάλλοντα χάνεται εύκολα η εικόνα: ένας ξεχασμένος υπολογιστής σε ρεσεψιόν, μια αποθήκη ή ένα σπίτι που δουλεύει σαν «δεύτερο γραφείο» αρκεί για να μείνει ανοιχτή η πόρτα.

Η ουσία δεν είναι να τρομάξεις από κάθε κενό ασφαλείας. Είναι να έχεις βασική πειθαρχία: update, MFA, ξεχωριστοί λογαριασμοί, backup, προσοχή στα αιτήματα που ζητούν έγκριση. Αν τα έχεις αυτά, ένα σοβαρό κενό στο Defender γίνεται πολύ πιο δύσκολο να μετατραπεί σε πραγματική ζημιά.

Τεκμηρίωση