Microsoft confirma zero-day RoguePlanet no Defender (CVE-2026-50656) e diz que patch está em desenvolvimento; PoC funciona até com proteção em tempo real ativa

A Microsoft confirmou formalmente, em 17 de junho, que está trabalhando em uma correção para uma falha zero-day no Microsoft Defender batizada de RoguePlanet, agora rastreada como CVE-2026-50656 (CVSS 7.8). A vulnerabilidade, classificada como escalonamento de privilégios no Malware Protection Engine, concede shell com privilégios SYSTEM em máquinas Windows totalmente atualizadas e, segundo o pesquisador Chaotic Eclipse, funciona mesmo com proteção em tempo real do Defender ativa, e possivelmente também em modo passivo. É a quarta falha do Defender divulgada pelo mesmo pesquisador em sequência, depois de BlueHammer, UnDefend e RedSun.

O que aconteceu

O Defender é, na prática, a primeira linha de defesa nativa de centenas de milhões de endpoints Windows. Quando a própria engine antimalware se transforma em vetor de privilege escalation, a inversão é completa: o produto que deveria conter um atacante passa a entregar SYSTEM em bandeja. Essa é a leitura técnica do RoguePlanet, divulgado há cerca de uma semana pelo pesquisador conhecido como Chaotic Eclipse (também tratado por Nightmare-Eclipse), que liberou prova de conceito antes de qualquer patch oficial.

A Microsoft, em comunicado oficial, descreveu a falha como “elevação de privilégio no Microsoft Malware Protection Engine no Microsoft Defender, publicamente referida como RoguePlanet”, e informou que está trabalhando em uma atualização de segurança de alta qualidade. Inicialmente, na semana anterior, a empresa havia respondido apenas que estava “investigando ativamente a validade e a aplicabilidade potencial dessas alegações”. A atribuição de CVE e o reconhecimento formal vieram após análise interna confirmar a reprodutibilidade do exploit.

Detalhes da vulnerabilidade

Segundo a descrição do próprio pesquisador, o RoguePlanet é uma race condition: uma janela de competição entre operações simultâneas no Malware Protection Engine que pode ser explorada para escapar das fronteiras de privilégio do processo. Quando ganha a corrida, o atacante obtém um shell SYSTEM-level, comprometendo de forma irreversível qualquer mecanismo de isolamento de usuário do Windows. Por ser race condition, o sucesso depende do timing e da carga de cada máquina; em algumas, o exploit roda com taxa de acerto de 100%, em outras é instável.

Em atualização posterior, Chaotic Eclipse fez uma constatação que aumenta a gravidade: a PoC funciona independentemente de a proteção em tempo real estar ativada ou desativada. O pesquisador afirmou ainda acreditar que funciona também em modo passivo, embora sem testes definitivos. Isso significa que recomendações comuns como “rode o Defender em modo ativo” não funcionam como mitigação. O motor está vulnerável em qualquer estado operacional, e desabilitar o produto também não resolve o problema porque o componente afetado permanece carregado.

“Esqueci de adicionar uma coisa, surpreendentemente, o PoC para RoguePlanet funciona independentemente de a proteção em tempo real estar ligada ou não, o que é hilário. Eu acho que ele até funciona no caso do modo passivo, mas não tenho certeza, ainda não testei isso.”

Chaotic Eclipse (Nightmare-Eclipse), pesquisador independente que divulgou a falha

Riscos imediatos

• Escalonamento local para SYSTEM em estações Windows com Defender, padrão na maioria dos parques corporativos.
• PoC pública, o que reduz para horas a janela entre disclosure e exploração em massa por commodity malware.
• Bypass independente de configurações do Defender: ativar, desativar ou colocar em modo passivo não muda o resultado.
• Encadeamento natural com vetores de acesso inicial, como infostealers, phishing e exploits de browser, transformando user shells em SYSTEM em segundos.
• Sem patch oficial até o fechamento desta edição; mitigações via configuração de produto ainda não foram divulgadas pela Microsoft.

Análise

O RoguePlanet é o quarto CVE consecutivo descoberto por Chaotic Eclipse na engine do Defender, depois de BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) e RedSun (CVE-2026-41091). Esse padrão recorrente em um único produto de segurança, todos com escalonamento de privilégios, sugere uma classe de bug arquitetural mais profunda na forma como o Malware Protection Engine isola operações concorrentes. Não é coincidência. É lacuna estrutural.

Vale o paralelo com outros casos recentes de LPE em ferramentas de segurança. SentinelOne, CrowdStrike e Sophos já tiveram, nos últimos 18 meses, falhas semelhantes em componentes kernel-mode usados para tamper protection. O denominador comum é o mesmo: produtos antivírus, por exigência de proteção contra desativação, executam código privilegiado que, quando vulnerável, vira atalho direto para SYSTEM. Para times de blue team, a lição prática é não tratar o EDR como “perímetro confiável”, mas como mais um software sujeito a vulnerabilidades, com superfície de ataque relevante.

A disposição da Microsoft em assumir publicamente o CVSS 7.8 e o status de zero-day em desenvolvimento, em vez de minimizar via comunicação ambígua como aconteceu em divulgações anteriores, indica que o ciclo Patch Tuesday de julho deve trazer correção. Mas o intervalo até lá, com PoC já no ar, é o que importa para defensores.

Recomendações práticas

• Monitorar telemetria de processos buscando filhos elevados anômalos de MsMpEng.exe ou criação de shells SYSTEM via processos não esperados.
• Reduzir superfície de execução de código não confiável: bloqueio de macros, AppLocker/WDAC, navegação restrita em estações administrativas.
• Reforçar segregação de privilégios: contas administrativas separadas, JIT/PIM em Active Directory ou Entra ID, evitando logons interativos rotineiros como admin.
• Acelerar coleta de IOCs adicionais sobre RoguePlanet conforme detalhes técnicos forem publicados; manter integração ativa com feeds da MSRC.
• Avaliar habilitar Attack Surface Reduction rules e Tamper Protection no Defender, mesmo cientes de que essa falha específica não respeita esse controle.
• Planejar janela para aplicar a Definition Update e a atualização da Malware Protection Platform assim que a Microsoft publicar.
• Para usuários finais: manter o sistema atualizado pelo Windows Update, mas saber que apenas isso não basta enquanto o patch não sair, evitando executar arquivos de origem suspeita até lá.

Fonte: The Hacker News