Nuevo Zero-Day en Microsoft Defender permite obtener privilegios SYSTEM

 

RoguePlanet: Nuevo Zero-Day, Microsoft ya trabaja en un parche

 

Una nueva vulnerabilidad golpea a Microsoft Defender

Microsoft confirmó oficialmente la existencia de una nueva vulnerabilidad de elevación de privilegios en Microsoft Defender, conocida públicamente como RoguePlanet, y anunció que se encuentra desarrollando una actualización de seguridad para corregir el problema.

La falla fue catalogada como CVE-2026-50656 y recibió una puntuación CVSS de 7.8. Aunque no permite acceso inicial al sistema, sí posibilita que un atacante con acceso local obtenga privilegios de nivel NT AUTHORITY\SYSTEM, el nivel más alto dentro de Windows.

La confirmación oficial llega pocos días después de que el investigador de seguridad conocido como Chaotic Eclipse (Nightmare-Eclipse) publicara una prueba de concepto funcional que demuestra la explotación de la vulnerabilidad.

Qué es RoguePlanet

Según la información publicada por el investigador, RoguePlanet explota una condición de carrera (race condition) dentro del motor de protección antimalware de Microsoft Defender.

Las condiciones de carrera ocurren cuando múltiples procesos intentan acceder o modificar simultáneamente un mismo recurso del sistema, generando estados inesperados que pueden ser aprovechados por un atacante.

En este caso, el fallo permite ejecutar código con privilegios SYSTEM mediante la sincronización precisa de determinadas operaciones internas del motor de protección.

Aunque la explotación puede presentar variaciones dependiendo de la configuración del equipo y la carga del sistema, el investigador afirmó haber alcanzado tasas de éxito cercanas al 100% en algunos entornos.

Un aspecto particularmente preocupante

Uno de los hallazgos más llamativos es que la vulnerabilidad aparentemente funciona incluso cuando Microsoft Defender se encuentra configurado en diferentes modos operativos.

De acuerdo con las pruebas publicadas:

  • Funciona con Protección en Tiempo Real habilitada.
  • Funciona con Protección en Tiempo Real deshabilitada.
  • Podría funcionar incluso en modo pasivo.
  • No requiere desactivar mecanismos de protección previos.

Esto convierte a RoguePlanet en una vulnerabilidad especialmente relevante para entornos corporativos donde Defender es utilizado como solución principal de protección de endpoints.

El cuarto hallazgo consecutivo del mismo investigador

RoguePlanet no es un caso aislado.

Chaotic Eclipse ha sido responsable durante los últimos meses de una serie de vulnerabilidades críticas relacionadas con Microsoft Defender:

BlueHammer (CVE-2026-33825)

Permitía elevar privilegios mediante abuso de Volume Shadow Copy y procesos internos de actualización de Defender.

RedSun (CVE-2026-41091)

Permitía manipular componentes internos de protección para obtener privilegios elevados.

UnDefend (CVE-2026-45498)

Permitía deshabilitar determinados mecanismos defensivos aprovechando debilidades de arquitectura.

Todas estas vulnerabilidades fueron posteriormente corregidas por Microsoft.

La aparición de RoguePlanet vuelve a poner bajo análisis la complejidad interna del motor de protección y los desafíos asociados a la seguridad de herramientas que operan con privilegios elevados dentro del sistema operativo.

Por qué estas vulnerabilidades son tan importantes

Las vulnerabilidades de elevación de privilegios suelen recibir menos atención mediática que los fallos de ejecución remota de código, pero para los atacantes representan uno de los componentes más valiosos dentro de una cadena de ataque.

En escenarios reales, los atacantes suelen combinar:

  1. Acceso inicial.
  2. Elevación de privilegios.
  3. Movimiento lateral.
  4. Persistencia.
  5. Exfiltración de información.

Una vulnerabilidad como RoguePlanet puede transformar un compromiso limitado de usuario en un control total del equipo comprometido.

Impacto potencial para organizaciones

Si un atacante logra explotar exitosamente CVE-2026-50656 podría:

  • Obtener privilegios SYSTEM.
  • Deshabilitar controles de seguridad.
  • Instalar malware persistente.
  • Extraer credenciales almacenadas.
  • Manipular configuraciones de seguridad.
  • Facilitar movimientos laterales dentro de la red.
  • Preparar ataques de ransomware o espionaje.

En entornos empresariales, este tipo de acceso suele ser suficiente para comprometer estaciones de trabajo críticas y servidores de alto valor.

Qué deberían hacer las organizaciones

Mientras Microsoft libera el parche oficial, las organizaciones deberían adoptar medidas compensatorias:

  • Limitar privilegios locales de usuarios.
  • Monitorear intentos de elevación de privilegios.
  • Incrementar la visibilidad sobre eventos relacionados con Defender.
  • Revisar actividad anómala en endpoints críticos.
  • Aplicar principios de mínimo privilegio.
  • Mantener EDR y herramientas de monitoreo actualizadas.
  • Fortalecer controles de detección basados en comportamiento.

Asimismo, resulta recomendable que los equipos SOC incorporen reglas específicas para detectar comportamientos asociados a explotación local de privilegios.

Una tendencia que merece atención

Durante los últimos años se ha observado un aumento sostenido de investigaciones enfocadas en productos de seguridad defensiva.

Las soluciones EDR, antivirus, plataformas XDR y agentes de protección se han convertido en objetivos atractivos debido a que operan con los máximos privilegios dentro del sistema.

Para un atacante, comprometer una herramienta de seguridad no solo permite evadir controles, sino que puede transformarla en un vehículo para obtener acceso privilegiado al entorno.

RoguePlanet es otro recordatorio de que incluso las herramientas diseñadas para proteger los sistemas deben ser consideradas parte de la superficie de ataque.

Conclusión

Aunque Microsoft aún no ha publicado indicadores de explotación activa asociados a RoguePlanet, la disponibilidad pública de una prueba de concepto funcional incrementa significativamente el riesgo de intentos de abuso en las próximas semanas.

Las organizaciones que utilizan Microsoft Defender deberían mantenerse atentas a la liberación del parche y considerar medidas compensatorias mientras la actualización se encuentra en desarrollo.

En un contexto donde los atacantes combinan múltiples vulnerabilidades para construir cadenas de compromiso completas, los fallos de elevación de privilegios continúan siendo una de las piezas más críticas dentro del ecosistema de amenazas moderno.

 Fuente: XPoint

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

Trámites a Distancia: Serie de vulnerabilidades permiten el acceso a datos personales de terceros

Imagen
INTRODUCCIÓN La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna. El desarrollo del presente documento se ha realizado por Martín Aberastegue ( @Xyborg ) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema. INTRODUCCIÓN          0 RESUMEN          1 OBJETIVOS          1 DESARROLLO          2 ¿Es posible realizar este ataque de forma anónima?          3 ¿Dónde obtengo un CUIL válido?     ...
Leer más

Cada vez más empresas pagan rescates tras ciberataques impulsados por IA

Imagen
  Cada vez más empresas están pagando rescates a ciberdelincuentes después de sufrir ciberataques, ya que los atacantes están utilizando   inteligencia artificial (IA)   para lanzar campañas de ransomware cada vez más sofisticadas y dirigidas. Un   estudio reciente   de la consultora de ciberseguridad   S-RM   junto con la firma de asesoría   FGS Global   indica que   el 24,3% de las empresas que sufrieron ataques en 2025 pagaron un rescate , frente al   14,4% en 2024   y   16,4% en 2023 . Este aumento revierte una tendencia de dos años de descenso, aunque todavía se sitúa por debajo del   27,6% registrado en 2022 . Los sectores industrial y manufacturero parecen ser especialmente vulnerables. En estos entornos, los ataques de ransomware pueden provocar   interrupciones operativas graves , lo que incrementa la presión para pagar con rapidez con el fin de restaurar los sistemas y reanudar la producción. Entre las ...
Leer más

7 tips para detectar apps móviles falsas

Imagen
  Estos son los 7 consejos que debes tener en cuenta para mantenerte alejado de amenazas para dispositivos móviles: cómo identificar una app maliciosa y qué hacer si ya instalaste una. Recién descargas un juego móvil, una billetera de criptomonedas, o una app de fitness… Pero algo no está bien: la pantalla de tu teléfono es invadida por publicidades molestas, la aplicación no está haciendo lo que esperabas, y, en casos extremos, tu cuenta bancaria tiene movimientos no autorizados. En estos casos, son altas las probabilidades de que la app descargada esté en la búsqueda de tu dinero o tu información sensible. Por la cantidad de información a la que accedemos desde nuestros smartphones, no sorprende por qué los cibercriminales están con un ojo encima de los dispositivos, y siembran grandes cantidades de amenazas, especialmente en tiendas de app de terceros, o no oficiales. Según un   reciente reporte de Google , en 2025 se banearon más de 80.000 cuentas de desarrolladores malici...
Leer más