Um pesquisador de segurança apelidou de “RoguePlanet” um novo zero-day no Microsoft Defender que concede privilégios de SYSTEM em sistemas Windows 10 e 11 totalmente atualizados. A falha foi divulgada horas após a Microsoft ter corrigido dois outros zero-days no Patch Tuesday de junho de 2026, reacendendo o debate sobre as políticas de bug bounty da empresa.
Como o RoguePlanet funciona
O exploit abusa de uma condição de corrida (race condition) no motor do Microsoft Defender. Quando executado com sucesso, um prompt de comando com privilégios SYSTEM é aberto na máquina alvo. O pesquisador Nightmare Eclipse relata taxas de sucesso de 100% em algumas máquinas, enquanto em outras a exploração é intermitente.
A vulnerabilidade foi testada contra Windows 11 (builds Oficial e Canary) e Windows 10 com as atualizações de segurança de junho de 2026 instaladas. A empresa ThreatLocker reproduziu a falha independentemente em sistemas com o patch KB5094126 aplicado, confirmando a viabilidade do ataque.
Origem como RCE remota
Nightmare Eclipse revelou que o RoguePlanet foi concebido originalmente como uma vulnerabilidade de execução remota de código. A versão inicial explorava o processamento de arquivos em compartilhamentos SMB remotos pelo Defender — ao abrir um arquivo .vhd(x) hospedado em um servidor SMB, o antivírus sobrescrevia seus próprios binários, resultando em RCE.
Outro cenário permitia RCE apenas fazendo a vítima abrir um compartilhamento SMB com configurações de symlink evaluation habilitadas. A Microsoft, no entanto, endureceu silenciosamente o Defender em meados de maio, corrigindo a API mpengine!SysIO* e bloqueando ataques por junction — o que forçou o pesquisador a reescrever o exploit.
Histórico de confrontos
A divulgação do RoguePlanet é o capítulo mais recente de um conflito prolongado entre Nightmare Eclipse e a Microsoft. Veja a cronologia dos zero-days liberados publicamente:
| Data | Exploit | Alvo | Status |
|---|---|---|---|
| Abril de 2026 | BlueHammer / RedSun | Microsoft Defender | Corrigidos |
| Maio de 2026 | RoguePlanet (proto) | Defender (mpengine) | Parcialmente mitigado |
| 9 jun 2026 | GreenPlasma | Windows (CVE-2026-45585) | Corrigido |
| 9 jun 2026 | YellowKey | BitLocker (CVE-2026-50507) | Corrigido |
| 9 jun 2026 | RoguePlanet | Microsoft Defender (race condition) | Sem patch |
| 14 jun 2026 | Novo exploit (nome desconhecido) | A confirmar | Ameaça pendente |
O pesquisador alega que GitHub e GitLab removiam seus repositórios sob pressão da Microsoft, e ameaçou lançar um novo exploit “devastador” em 14 de junho de 2026. Esse padrão de divulgação pública após rejeição de bug bounty é similar ao que motivou os zero-days anteriores no Defender.
Mitigações imediatas
Ameaças baseadas em race condition são difíceis de explorar em ambientes com allowlisting de aplicações. O CEO da ThreatLocker, Danny Jenkins, confirma que ferramentas de allowlisting impedem a execução do exploit. Além disso, ambientes que restringem o acesso a compartilhamentos SMB não autenticados reduzem a superfície de ataque. A Microsoft ainda não se manifestou sobre o RoguePlanet, e não há patch disponível no momento — administradores devem monitorar atualizações do Defender e restringir execução de binários não autorizados.