Microsoft confirmou a existência da vulnerabilidade zero-day RoguePlanet (CVE-2026-50656) no Microsoft Defender e informou que está desenvolvendo uma correção. O flaw, com CVSS 7.8, permite elevação de privilégios para SYSTEM por meio de uma condição de corrida no motor de proteção contra malware. Um proof-of-concept público já funciona em sistemas totalmente atualizados do Windows 10 e 11.

O que é o RoguePlanet

RoguePlanet é um exploit de elevação local de privilégios (LPE) descoberto pelo pesquisador Chaotic Eclipse ( Nightmare-Eclipse), divulgado publicamente em 16 de junho de 2026. O ataque explora uma condição de corrida TOCTOU (Time-of-Check to Time-of-Use) no caminho de processamento de arquivos do Microsoft Defender. Ao manipular o intervalo entre a verificação de um arquivo suspeito e seu processamento pela engine de proteção, o exploit injeta código que executa com os privilégios mais altos do sistema operacional.

O PoC foi testado com sucesso em máquinas com Windows 10 e Windows 11 completamente atualizados, incluindo as correções do Patch Tuesday de junho de 2026. Isso significa que o ciclo regular de atualizações da Microsoft não protege contra este ataque.

Detalhes técnicos confirmados

Segundo o relatório do Security Affairs, a Microsoft emitiu um comunicado oficial reconhecendo o CVE-2026-50656 e afirmando que “está ciente do problema e trabalhando para fornecer uma atualização de segurança de alta qualidade”. O pesquisador revelou detalhes adicionais em atualizações posteriores:

  • Patch Tuesday insuficiente: O exploit funciona mesmo após a aplicação de todas as correções de junho de 2026, pois a vulnerabilidade reside na engine do Defender, não em componentes corrigidos nesse ciclo.
  • Proteção em tempo real irrelevante: O PoC funciona independentemente de a proteção em tempo real do Defender estar ativada ou desativada, e possivelmente também em modo passivo.
  • Servidores parcialmente protegidos: O exploit não funciona em Windows Server porque usuários padrão não podem montar imagens ISO. Contudo, a vulnerabilidade subjacente afeta instalações de servidor — basta um método de exploração diferente.
  • Novas falhas identificadas: Chaotic Eclipse afirma ter descoberto vulnerabilidades adicionais de corrupção de memória no Defender e em outros componentes da Microsoft.

Cronologia da divulgação

Data Evento
10 jun 2026 Pesquisador divulga PoC inicial do RoguePlanet no GitHub
Jun 2026 Microsoft Patch Tuesday (206 correções) — RoguePlanet permanece não corrigido
16 jun 2026 Chaotic Eclipse publica CVE oficial e novo PoC estável
17 jun 2026 Microsoft confirma vulnerabilidade e anuncia patch em desenvolvimento

Risco enquanto o patch não chega

A combinação de um PoC público, CVSS alto e funcionamento em sistemas atualizados torna o RoguePlanet um risco concreto. Em cenários de segurança corporativa, o principal vetor de exploração é o acesso local — um atacante que já comprometeu uma máquina com privilégios baixos pode escalar para SYSTEM e tomar controle total do endpoint. Isso é especialmente perigoso em ambientes onde o Defender é o único agente de segurança, algo que já discutimos anteriormente.

Medidas práticas de mitigação

Enquanto a Microsoft não libera a correção oficial:

  1. Monitore processos do Defender: Ferramentas de EDR de terceiros ou scripts de monitoramento devem alertar sobre spawns de shell (cmd.exe, powershell.exe) originados do processo do Defender (MsMpEng.exe).
  2. Restrinja montagem de ISO: A exploração atual depende da montagem de imagens ISO. Bloqueie esta funcionalidade via GPO para usuários padrão, impedindo o caminho de ataque conhecido.
  3. Aplique o princípio do menor privilégio: Mesmo sem o patch, limitar o número de usuários com acesso local reduz a superfície de ataque.
  4. Implemente defesa em profundidade: Uma solução EDR de terceiros pode detectar o comportamento anômalo do exploit, mesmo que o Defender nativo não consiga bloqueá-lo.

Fontes

Security Affairs — Microsoft Confirms RoguePlanet Zero-Day in Defender

Help Net Security — Microsoft working on patch for RoguePlanet Defender zero-day

Feedly — CVE-2026-50656 Tracker