RoguePlanet: Nuevo Zero-Day de Microsoft Defender Afecta Windows 10 y 11

La comunidad de ciberseguridad vuelve a poner sus ojos sobre Microsoft tras la divulgación de un nuevo exploit zero-day denominado RoguePlanet, una vulnerabilidad que afecta a Microsoft Defender y que, según su descubridor, puede ser explotada en sistemas Windows 10 y Windows 11 completamente actualizados.

La revelación se produjo apenas unas horas después de que Microsoft publicara las actualizaciones de seguridad correspondientes al Patch Tuesday de junio de 2026, en las que corrigió dos vulnerabilidades previamente divulgadas por el mismo investigador. El hallazgo ha generado preocupación entre expertos y administradores de sistemas debido a que el exploit permite obtener privilegios de nivel SYSTEM, el nivel más alto de acceso dentro del sistema operativo Windows.

¿Qué es RoguePlanet y por qué representa una amenaza?

El investigador de seguridad conocido bajo el alias Nightmare Eclipse publicó un exploit de prueba de concepto (PoC) que demuestra cómo aprovechar una vulnerabilidad de condición de carrera (race condition) en Microsoft Defender para elevar privilegios de forma local.

Según la información compartida por el investigador, el fallo afecta tanto a Windows 10 como a Windows 11, incluyendo equipos que cuentan con todas las actualizaciones de seguridad instaladas hasta junio de 2026.

La vulnerabilidad permite que un atacante ejecute procesos con permisos SYSTEM, lo que le otorga control total sobre el dispositivo comprometido. Con este nivel de acceso, un ciberdelincuente podría instalar malware, modificar configuraciones críticas, acceder a información confidencial o desactivar mecanismos de seguridad.

Nightmare Eclipse explicó que el exploit no garantiza el éxito en todos los intentos debido a la naturaleza de las condiciones de carrera.

Citar"El exploit es una condición de raza, así que es un acierto o un error. He conseguido un 100% de éxito en algunas máquinas mientras que en otras le costaba funcionar", afirmó el investigador.

A pesar de esta limitación, el hecho de que el ataque funcione en determinados entornos convierte la vulnerabilidad en una amenaza significativa para organizaciones y usuarios que dependen de Microsoft Defender como principal solución de protección.

ThreatLocker confirma la explotación exitosa

La preocupación aumentó cuando la empresa de ciberseguridad ThreatLocker confirmó que logró reproducir exitosamente el ataque en un entorno de pruebas.

Durante sus evaluaciones, los investigadores verificaron que RoguePlanet funcionaba en sistemas Windows 11 completamente actualizados que tenían instalada la actualización de seguridad KB5094126.

Danny Jenkins, CEO de ThreatLocker, señaló que el exploit es técnicamente viable y puede ejecutarse tal como fue descrito por su creador.

Según la compañía, las organizaciones que implementan soluciones de control de aplicaciones y listas blancas pueden reducir considerablemente el riesgo de explotación al impedir la ejecución de componentes no autorizados.

Esta validación independiente otorga mayor credibilidad al hallazgo y aumenta la presión sobre Microsoft para emitir una respuesta oficial o desarrollar medidas de mitigación adicionales.

De una posible ejecución remota de código a una escalada de privilegios local

Uno de los aspectos más interesantes de RoguePlanet es que inicialmente fue desarrollado como una vulnerabilidad potencial de ejecución remota de código (RCE).

De acuerdo con Nightmare Eclipse, la investigación comenzó analizando cómo Microsoft Defender gestionaba archivos almacenados en recursos compartidos SMB remotos.

Durante las primeras etapas del análisis, el investigador descubrió que era posible forzar a una víctima a abrir archivos VHD o VHDX alojados en servidores SMB controlados por un atacante.

En escenarios exitosos, Microsoft Defender terminaba sobrescribiendo algunos de sus propios archivos internos, lo que podía derivar en la ejecución de código arbitrario.

El investigador explicó que la vulnerabilidad tenía el potencial de convertirse en una amenaza mucho más grave si determinadas configuraciones relacionadas con la evaluación de enlaces simbólicos estuvieran habilitadas.

Sin embargo, Microsoft habría realizado cambios silenciosos en Defender durante mayo de 2026 que bloquearon ciertos métodos de explotación.

Microsoft reforzó Defender antes de la divulgación

Según los detalles técnicos compartidos por Nightmare Eclipse, Microsoft habría endurecido internamente varios componentes de Defender semanas antes de la publicación del exploit.

El investigador asegura que modificaciones introducidas en funciones identificadas como mpengine!SysIO* bloquearon ataques basados en uniones y enlaces simbólicos que formaban parte de las cadenas de explotación originales.

Estos cambios habrían limitado significativamente las posibilidades de convertir RoguePlanet en una vulnerabilidad de ejecución remota de código plenamente funcional.

No obstante, el exploit sigue siendo capaz de lograr una escalada local de privilegios (LPE), permitiendo a atacantes obtener acceso SYSTEM en equipos vulnerables.

Por el momento, no existe evidencia pública que confirme la posibilidad de transformar RoguePlanet nuevamente en un vector de RCE, aunque el investigador reconoce que continúa evaluando distintos escenarios.

Una disputa creciente entre Microsoft y Nightmare Eclipse

La publicación de RoguePlanet forma parte de una controversia más amplia entre Microsoft y Nightmare Eclipse relacionada con la divulgación responsable de vulnerabilidades y los programas de recompensas por errores.

Durante los últimos meses, el investigador ha publicado diversos zero-days dirigidos a componentes críticos del ecosistema Windows, incluyendo vulnerabilidades conocidas como:

• BlueHammer
• RedSun
• GreenPlasma
• YellowKey

Algunas de estas fallas afectaban directamente a Microsoft Defender, mientras que otras impactaban componentes sensibles como BitLocker y mecanismos internos de Windows.

Precisamente, Microsoft corrigió las vulnerabilidades GreenPlasma y YellowKey durante el Patch Tuesday de junio de 2026, apenas horas antes de la aparición de RoguePlanet.

La tensión entre ambas partes aumentó cuando Microsoft indicó anteriormente que colaboraría con las autoridades en casos donde determinadas actividades pudieran causar daños reales a sus clientes. Estas declaraciones fueron interpretadas por parte de la comunidad de seguridad como una advertencia indirecta hacia el investigador.

Repositorios eliminados y publicación en infraestructura propia

Otro punto polémico del caso es la distribución pública del exploit.

Nightmare Eclipse sostiene que Microsoft habría solicitado la eliminación de varios repositorios alojados en GitHub y GitLab donde anteriormente compartía sus investigaciones y pruebas de concepto.

Como respuesta, el investigador decidió migrar la publicación de sus hallazgos a una plataforma autoalojada bajo su propio control, desde donde difundió el código de RoguePlanet.

Este movimiento dificulta la eliminación del contenido y garantiza que investigadores de seguridad, empresas y analistas puedan estudiar el exploit independientemente de las políticas de terceros.

Qué deben hacer las organizaciones ante RoguePlanet

Mientras Microsoft analiza el nuevo reporte, las organizaciones deberían adoptar medidas preventivas para reducir la superficie de ataque:

• Implementar listas blancas de aplicaciones.
• Restringir privilegios administrativos innecesarios.
• Monitorizar actividades sospechosas relacionadas con Microsoft Defender.
• Revisar configuraciones SMB y accesos compartidos.
• Mantener actualizados los sistemas Windows.
• Aplicar soluciones avanzadas de detección y respuesta (EDR).
• Supervisar eventos de escalada de privilegios en endpoints críticos.

Aunque RoguePlanet requiere condiciones específicas para su explotación, la confirmación independiente de su funcionamiento demuestra que se trata de una amenaza real para entornos Windows modernos.

En fin...

La divulgación de RoguePlanet representa un nuevo desafío para Microsoft y pone de manifiesto que incluso las plataformas de seguridad integradas pueden convertirse en objetivos de ataque. La vulnerabilidad permite obtener privilegios SYSTEM en sistemas Windows 10 y Windows 11 completamente actualizados, lo que la convierte en una amenaza especialmente preocupante para empresas y organismos que dependen de Microsoft Defender como primera línea de defensa.

Hasta el momento, Microsoft no ha emitido un comunicado oficial sobre este nuevo zero-day. Sin embargo, la validación realizada por ThreatLocker confirma que el exploit funciona en entornos reales, por lo que las organizaciones deberían adoptar medidas de mitigación inmediatas mientras se espera una solución definitiva.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login