O Microsoft Defender, antivírus padrão do Windows 10 e 11, tem uma falha de elevação de privilégios sem correção, batizada de RoguePlanet (CVE-2026-50656, CVSS 7.8). Divulgada em 9 de junho de 2026 por um pesquisador conhecido como Nightmare Eclipse, ela explora uma condição de corrida no motor de proteção (Microsoft Malware Protection Engine) para abrir um terminal com privilégios máximos de SYSTEM — mesmo em máquinas totalmente atualizadas e com a Proteção em Tempo Real ativada. A Microsoft confirma exploração ativa e ainda não liberou patch.
O que é o RoguePlanet
RoguePlanet é um exploit de prova de conceito (PoC) que abusa de uma falha no Microsoft Malware Protection Engine, o núcleo que faz o Windows Defender funcionar. A vulnerabilidade foi catalogada como CVE-2026-50656 e classificada pela Microsoft como elevação de privilégios, com severidade CVSS 7.8, segundo a EnigmaSoft.
O problema técnico é uma condição de corrida envolvendo resolução inadequada de links simbólicos antes do acesso a arquivos. Quando o Defender processa determinado arquivo malicioso, o atacante consegue forçar o motor a executar comandos no contexto mais alto do sistema operacional: o usuário SYSTEM. Segundo a Help Net Security, o ataque exige apenas que o invasor já tenha uma conta local válida, sem necessidade de interação do usuário.
O detalhe mais inquietante: a falha funciona mesmo com a Proteção em Tempo Real ativada. Ou seja, o escudo que deveria barrar o ataque é justamente o caminho usado para entrar. Isso afeta o Windows 10, o Windows 11 e todas as variantes do Microsoft Defender para endpoints corporativos.
Como o ataque funciona na prática
O pesquisador Nightmare Eclipse detalhou em seu repositório a mecânica do ataque, confirmada pela empresa de segurança ThreatLocker, que reproduziu o exploit com sucesso em um Windows 11 com a atualização KB5094126 instalada. O fluxo é o seguinte:
- O atacante já tem acesso local de baixo privilégio (uma conta comum, por exemplo).
- Ele prepara um arquivo que aciona o mecanismo de verificação do Defender.
- Aproveita uma janela de tempo (a corrida, ou race condition) entre a leitura e a ação do motor.
- Um link simbólico malicioso redireciona a operação para uma pasta protegida.
- O resultado é um prompt de comando aberto com privilégios SYSTEM.
Como o ataque depende de vencer a corrida de milissegundos, nem toda execução dá certo. O próprio Nightmare Eclipse admite: em algumas máquinas chegou a 100% de sucesso, em outras falhava repetidamente. Mas, segundo ele, qualquer tentativa de criar assinaturas para bloquear o PoC é facilmente contornada com pequenas mudanças no código.
Importante destacar: o RoguePlanet, como publicado, é uma elevação de privilégios local (LPE), e não execução remota de código. Para explorá-lo, o atacante precisa primeiro entrar na máquina por outro caminho — um phishing bem-sucedido, um malware inicial ou credenciais roubadas. A partir daí, no entanto, ele salta para SYSTEM e assume o controle total do computador.
Quem está por trás dos ataques
O autor se apresenta como Nightmare Eclipse (também chamado de Chaotic Eclipse). Desde março de 2026, ele vem publicando PoCs de falhas zero-day em produtos da Microsoft em retaliação a uma disputa com a empresa sobre práticas de recompensa e divulgação de vulnerabilidades, segundo a BleepingComputer. A série já inclui:
- BlueHammer e RedSun — duas falhas de elevação de privilégios no Windows.
- UnDefend — bug de negação de serviço no próprio Defender.
- YellowKey — um desvio do BitLocker.
- GreenPlasma — elevação de privilégios no CTFMON do Windows.
- RoguePlanet — a falha atual, sem correção.
RoguePlanet foi divulgado no mesmo dia do Patch Tuesday de junho de 2026, que trouxe correções justamente para YellowKey e GreenPlasma. O pesquisador alega ainda que a Microsoft removeu repositórios anteriores hospedados no GitHub e no GitLab, o que o levou a criar uma plataforma própria, em projectnightcrawler.dev.
A demora da correção da Microsoft
A Microsoft confirmou a vulnerabilidade e classificou sua exploração como “Exploitation More Likely” no índice oficial. Em comunicado, diz “estar trabalhando em uma atualização de alta qualidade” para o problema, mas não divulga prazo, segundo a Help Net Security.
Segundo o Qualys ThreatPROTECT, a Microsoft registrou exploração ativa do RoguePlanet no mundo real. A janela de exposição — do dia da divulgação até a chegada do patch — é justamente o período crítico para qualquer equipe de segurança.
O clima entre a empresa e o pesquisador está longe de ser cordial. Em maio, a MSRC emitiu um aviso de que sua unidade de Crimes Digitais poderia processar quem facilitasse “atividade criminal”. A comunidade de pesquisa interpretou isso como ameaça e reagiu com força. A Microsoft recuou e esclareceu que não pretende perseguir pesquisadores legítimos, mas o estrago reputacional já estava feito.
Impacto para empresas brasileiras
O Windows domina o mercado corporativo brasileiro, e o Defender é o antivírus padrão na maior parte das pequenas e médias empresas. Muitas delas não contratam um EDR de terceiros — confiando exclusivamente no Defender. Isso cria um cenário de risco assimétrico:
| Cenário | Risco com o RoguePlanet |
|---|---|
| Servidor Windows sem EDR adicional | Alto — comprometimento total do servidor |
| Estação de trabalho de funcionário | Médio — exige acesso local prévio |
| Quiosque ou terminal compartilhado | Crítico — qualquer usuário pode explorar |
| Ambiente com allowlist de aplicativos | Baixo — bloqueia execução não autorizada |
O ataque por si só não derruba um site ou rouba senhas. Mas, dentro da cadeia de um ataque real — que começa com phishing, ganha acesso de usuário comum e depois escala — o RoguePlanet é o degrau que transforma um incidente limitado em comprometimento total da máquina. Para empresas sujeitas à LGPD, isso significa risco concreto de vazamento de dados pessoais, notificação obrigatória à ANPD e prejuízo reputacional.
Mitigações enquanto não há correção
Até a chegada do patch oficial, a Microsoft não oferece correção. A postura de defesa, portanto, é reduzir a superfície de ataque e dificultar o segundo passo do invasor:
- Princípio do menor privilégio: contas de usuário comum nunca devem ter acesso administrativo. Se o atacante consegue apenas o perfil de usuário, o estrago fica contido mesmo após a elevação.
- Allowlist de aplicativos: soluções como ThreatLocker, AppLocker ou o Windows Defender Application Control (WDAC) impedem a execução de binários não assinados, barrando o payload do RoguePlanet antes mesmo da corrida começar. A ThreatLocker confirmou que essa camada bloqueia o exploit com eficácia.
- Monitoramento de logs: eventos de criação de processos no contexto SYSTEM por contas de usuário comum são um sinal claro. Acionar alertas no SIEM para o processo conhost.exe ou cmd.exe filhos de tarefas do Defender pode flagrar o ataque em andamento.
- Camada adicional de EDR: mesmo com o Defender vulnerável, um EDR independente — como o CrowdStrike Falcon ou o Defender for Endpoint em modo auditoria — adiciona telemetria que o antivírus nativo não captura.
- Restrição a quiosques e terminais compartilhados: máquinas usadas por várias pessoas são alvo ideal, pois qualquer visitante já é “usuário autenticado”. Isole-as em rede separada.
A recomendação direta da EnigmaSoft é considerar o Defender vulnerável até segunda ordem e tratar qualquer endpoint Windows como alvo potencial — sobretudo em setores regulados como saúde, finanças e serviços públicos.
O que esperar nos próximos dias
Históricamente, a Microsoft lança correções fora de ciclo para falhas de alto perfil com PoC público e exploração ativa. O RoguePlanet preenche todos os requisitos: tem prova de conceito disponível, foi confirmada por terceiros e aparece com classificação de exploração provável no índice da empresa. Equipes de TI devem acompanhar o MSRC diariamente e priorizar o patch assim que sair.
O episódio também levanta debate sobre o modelo de divulgação. Pesquisadores reclamam de recompensas baixas e respostas lentas da Microsoft; a empresa insiste em defesa do fluxo coordenado. Enquanto isso não se resolve, a comunidade pode esperar mais “lançamentos de terça-feira” como este — com PoC público e centenas de milhões de PCs Windows na linha de frente. Para quem confia apenas no Defender, a lição é clara: antivírus não é estratégia de segurança. É só uma camada.
Referências
- Help Net Security — Microsoft working on patch for RoguePlanet Defender zero-day
- BleepingComputer — Microsoft Defender ‘RoguePlanet’ zero-day grants SYSTEM privileges
- Qualys ThreatPROTECT — Microsoft Defender Zero-day Vulnerability Exploited
- Tenable — CVE-2026-50656
- EnigmaSoft — CVE-2026-50656 RoguePlanet Vulnerability
- Microsoft Security Response Center — CVE-2026-50656