Recientemente se ha hecho pública la existencia de un exploit de día cero (zero-day) denominado RoguePlanet, el cual afecta directamente al motor de búsqueda de Microsoft Defender. Esta vulnerabilidad, revelada de forma no coordinada por el investigador conocido como Chaotic Eclipse, permite a un atacante local escalar privilegios hasta el nivel SYSTEM, el rango de autorización más alto en la arquitectura de Windows.
La falla técnica se basa en una condición de carrera (race condition), un error de lógica donde el software no procesa correctamente la secuencia de eventos temporales. Si el exploit se ejecuta con éxito, otorga al atacante una shell o consola con control total sobre el equipo, permitiéndole ejecutar código arbitrario, manipular archivos del sistema o desactivar otras medidas de seguridad sin que el usuario lo perciba.
Las pruebas de concepto confirman que el ataque es funcional en versiones de escritorio de Windows 10 y Windows 11, incluso aquellas que cuentan con las actualizaciones de seguridad más recientes instaladas. En entornos de Windows Server el riesgo es actualmente menor debido a que el exploit requiere permisos para montar imágenes ISO, una acción restringida para usuarios estándar en servidores, aunque la vulnerabilidad de base sigue presente en el código.
Microsoft ha confirmado que se encuentra investigando el alcance de RoguePlanet para desarrollar una corrección oficial. Al tratarse de una vulnerabilidad de día cero para la cual se ha liberado código de explotación público, el riesgo de incidentes en el corto plazo es elevado, especialmente en máquinas donde los usuarios tienen permisos para instalar software o montar unidades virtuales.
Qué significa para tu empresa: Este hallazgo demuestra que las herramientas de seguridad nativas no son infalibles y pueden ser el blanco de ataques avanzados. Ante amenazas que evaden los parches tradicionales, es vital contar con visibilidad profunda del comportamiento de los equipos. En Ingeniería Telemática S.A.S. recomendamos mitigar estos riesgos mediante nuestra capacidad de protección de endpoints EDR/XDR, la cual detecta actividades sospechosas de post-explotación y bloquea intentos de escalación de privilegios en tiempo real, protegiendo sus activos críticos mientras el fabricante libera las actualizaciones definitivas.
Fuente original: The Hacker News — ver artículo →