Microsoft ha confirmado una vulnerabilidad de día cero, identificada como “RoguePlanet” (CVE-2026-50656), en su motor de protección contra malware, Microsoft Defender. Esta falla de escalada de privilegios, con una puntuación CVSS de 7.8, afecta a las organizaciones que dependen de Defender para la seguridad de sus endpoints. Microsoft ha declarado que está trabajando activamente en el desarrollo de un parche de seguridad de alta calidad para solucionar este problema.
La vulnerabilidad fue divulgada por el investigador de seguridad Chaotic Eclipse (también conocido como Nightmare-Eclipse) y se describe como una condición de carrera (race condition). Este tipo de falla ocurre cuando dos o más operaciones intentan acceder o modificar el mismo recurso concurrente, y el resultado depende del orden de ejecución, que no está garantizado. Un ataque exitoso puede otorgar a los ciberdelincuentes privilegios de nivel SYSTEM en el sistema afectado, lo que les permitiría tomar el control total. Aunque el investigador señaló que la explotación puede ser inconsistente en diferentes máquinas (“hit or miss”), en algunas logró una tasa de éxito del 100%.
Un aspecto preocupante de “RoguePlanet” es que el PoC (Proof of Concept) funciona independientemente de si la protección en tiempo real de Defender está activada o no. Esto sugiere que la vulnerabilidad elude algunas de las capas de defensa habituales, dejando los sistemas expuestos incluso con configuraciones de seguridad aparentemente activas, e incluso podría funcionar en modo pasivo.
Dada la naturaleza de día cero y la ausencia de un parche disponible en este momento, las organizaciones deben extremar precauciones. Microsoft está investigando y desarrollando una actualización, por lo que es crucial estar atentos a los anuncios oficiales de la compañía y aplicar el parche tan pronto como sea liberado para mitigar el riesgo de explotación. Mantener los sistemas y el software actualizados es una práctica fundamental, aunque en este caso, se trata de una vulnerabilidad que aún no tiene una solución oficial.
Qué significa para tu empresa: La aparición de vulnerabilidades de día cero como “RoguePlanet” subraya la importancia de contar con una estrategia de ciberseguridad robusta y multicapa que vaya más allá de la protección básica de endpoints. Un SOC con monitoreo 24/7 es esencial para detectar actividades anómalas e intentos de explotación de este tipo de fallas antes de que los parches estén disponibles, permitiendo una respuesta temprana y minimizando el impacto potencial.
Fuente original: The Hacker News — ver artículo →