Vulnerabilitat de RoguePlanet CVE-2026-50656
Microsoft ha reconegut oficialment una vulnerabilitat de dia zero recentment revelada que afecta Microsoft Defender, coneguda com a RoguePlanet, i ha confirmat que actualment s'està desenvolupant una actualització de seguretat per solucionar el problema.
La falla ha rebut l'assignació CVE-2026-50656 i té una puntuació de gravetat CVSS de 7,8. Segons Microsoft, la vulnerabilitat es classifica com una debilitat d'elevació de privilegis dins del motor de protecció contra programari maliciós de Microsoft que utilitza Microsoft Defender.
Microsoft va declarar que coneix el problema revelat públicament, que els investigadors de seguretat han anomenat RoguePlanet.
Taula de continguts
Comprenent l’amenaça que hi ha darrere de RoguePlanet
La divulgació arriba després de la revelació pública de RoguePlanet aproximadament una setmana abans. L'investigador responsable de descobrir la falla la va descriure com una vulnerabilitat de condició de carrera capaç de concedir als atacants accés a un shell d'ordres que s'executa amb privilegis de nivell de SISTEMA.
Com que l'exploit es basa en una condició de carrera, la seva taxa d'èxit varia entre sistemes. Les proves han demostrat que alguns dispositius poden ser compromesos amb una taxa d'èxit gairebé perfecta, mentre que d'altres resulten més resistents a l'explotació.
Cal destacar que la prova de concepte (PoC) publicada funciona independentment de si la funció de protecció en temps real del Microsoft Defender està habilitada o deshabilitada.
Una llista creixent de defectes de seguretat de Defender
RoguePlanet representa la quarta vulnerabilitat de Microsoft Defender revelada públicament pels mateixos investigadors. Entre les troballes anteriors s'inclouen:
BlueHammer (CVE-2026-33825)
UnDefend (CVE-2026-45498)
Sol Vermell (CVE-2026-41091)
Les tres vulnerabilitats revelades anteriorment ja han estat corregides per Microsoft.
Impacte potencial d’una explotació reeixida
Si un atac que aprofita RoguePlanet té èxit, l'atacant obté un shell que opera amb permisos de nivell de SISTEMA, un dels nivells de privilegi més alts disponibles als sistemes Windows. Aquest accés permet als actors maliciosos:
Executar codi arbitrari.
Realitzar accions no autoritzades al sistema afectat.
Els privilegis elevats augmenten significativament l'impacte potencial d'un compromís reeixit.
Provat amb sistemes Windows completament actualitzats
Les proves de seguretat van confirmar que l'exploit funciona tant en sistemes Windows 10 com en Windows 11 que ja han rebut les actualitzacions del dimarts de patch del juny de 2026. Això indica que les instal·lacions d'escriptori completament actualitzades continuen sent vulnerables fins que Microsoft publiqui una correcció específica.
L’exposició al Windows Server requereix un mètode d’explotació diferent
En la seva forma actual, l'exploit no funciona en entorns Windows Server perquè els usuaris estàndard no tenen permís per muntar imatges ISO, un requisit de la tècnica d'atac existent.
Tanmateix, aquesta limitació no s'ha d'interpretar com a immunitat. Els investigadors van emfatitzar que les instal·lacions de Windows Server encara es veuen afectades per la vulnerabilitat subjacent. Simplement caldria redissenyar l'explotació per adaptar-la a les restriccions de la plataforma abans que l'explotació sigui possible.