Vulnerabilità CVE-2026-50656 di RoguePlanet
Microsoft ha ufficialmente riconosciuto una vulnerabilità zero-day recentemente scoperta che interessa Microsoft Defender, nota come RoguePlanet, e ha confermato che è attualmente in fase di sviluppo un aggiornamento di sicurezza per risolvere il problema.
La falla è stata identificata con il codice CVE-2026-50656 e presenta un punteggio di gravità CVSS pari a 7.8. Secondo Microsoft, la vulnerabilità è classificata come una falla di elevazione dei privilegi all'interno del Microsoft Malware Protection Engine utilizzato da Microsoft Defender.
Microsoft ha dichiarato di essere a conoscenza del problema reso pubblico, che i ricercatori di sicurezza hanno denominato RoguePlanet.
Sommario
Comprendere la minaccia dietro RoguePlanet
La rivelazione segue la divulgazione pubblica di RoguePlanet avvenuta circa una settimana prima. Il ricercatore responsabile della scoperta della falla l'ha descritta come una vulnerabilità di tipo race condition in grado di concedere agli aggressori l'accesso a una shell di comando con privilegi di livello SYSTEM.
Poiché l'exploit si basa su una condizione di gara (race condition), il suo tasso di successo varia a seconda del sistema. I test hanno dimostrato che alcuni dispositivi possono essere compromessi con un tasso di successo quasi perfetto, mentre altri si dimostrano più resistenti allo sfruttamento.
In particolare, la Proof-of-Concept (PoC) pubblicata funziona indipendentemente dal fatto che la funzionalità di protezione in tempo reale di Microsoft Defender sia abilitata o disabilitata.
Un elenco sempre più lungo di falle nella sicurezza di Defender
RoguePlanet rappresenta la quarta vulnerabilità di Microsoft Defender resa pubblica dagli stessi ricercatori. Tra le scoperte precedenti si annoverano:
BlueHammer (CVE-2026-33825)
UnDefend (CVE-2026-45498)
RedSun (CVE-2026-41091)
Tutte e tre le vulnerabilità precedentemente divulgate sono già state corrette da Microsoft.
Potenziale impatto di uno sfruttamento riuscito
Se un attacco che sfrutta RoguePlanet ha successo, l'attaccante ottiene una shell con permessi di livello SYSTEM, uno dei livelli di privilegio più elevati disponibili sui sistemi Windows. Tale accesso consente agli aggressori di:
Eseguire codice arbitrario.
Eseguire azioni non autorizzate all'interno del sistema interessato.
I privilegi accresciuti aumentano significativamente il potenziale impatto di un compromesso riuscito.
Testato su sistemi Windows completamente aggiornati.
I test di sicurezza hanno confermato che la vulnerabilità funziona sia sui sistemi Windows 10 che Windows 11 che hanno già ricevuto gli aggiornamenti di Patch Tuesday di giugno 2026. Ciò indica che le installazioni desktop completamente aggiornate rimangono vulnerabili fino a quando Microsoft non rilascerà una patch specifica.
L’esposizione a vulnerabilità di Windows Server richiede un metodo di sfruttamento diverso.
Nella sua forma attuale, l'exploit non funziona negli ambienti Windows Server perché agli utenti standard non è consentito montare immagini ISO, un requisito necessario per la tecnica di attacco esistente.
Tuttavia, questa limitazione non deve essere interpretata come immunità. I ricercatori hanno sottolineato che le installazioni di Windows Server sono ancora interessate dalla vulnerabilità sottostante. L'exploit dovrebbe semplicemente essere riprogettato per adattarsi alle restrizioni della piattaforma prima che sia possibile sfruttarlo con successo.
