Vulnerabilidad de RoguePlanet CVE-2026-50656
Microsoft ha reconocido oficialmente una vulnerabilidad de día cero recientemente descubierta que afecta a Microsoft Defender, conocida como RoguePlanet, y ha confirmado que actualmente se está desarrollando una actualización de seguridad para solucionar el problema.
La vulnerabilidad ha sido identificada con el identificador CVE-2026-50656 y tiene una puntuación de gravedad CVSS de 7,8. Según Microsoft, la vulnerabilidad se clasifica como una debilidad de elevación de privilegios dentro del motor de protección contra malware de Microsoft utilizado por Microsoft Defender.
Microsoft ha declarado que está al tanto del problema que se ha hecho público y que los investigadores de seguridad han denominado RoguePlanet.
Tabla de contenido
Entendiendo la amenaza detrás de RoguePlanet
Esta revelación se produce aproximadamente una semana después de la publicación de RoguePlanet. El investigador responsable de descubrir la vulnerabilidad la describió como una condición de carrera que permite a los atacantes acceder a una consola de comandos con privilegios de nivel SYSTEM.
Debido a que la vulnerabilidad se basa en una condición de carrera, su tasa de éxito varía entre sistemas. Las pruebas han demostrado que algunos dispositivos pueden verse comprometidos con una tasa de éxito casi perfecta, mientras que otros resultan más resistentes a la explotación.
Cabe destacar que la prueba de concepto (PoC) publicada funciona independientemente de si la función de protección en tiempo real de Microsoft Defender está habilitada o deshabilitada.
Una lista cada vez mayor de fallos de seguridad en Defender
RoguePlanet representa la cuarta vulnerabilidad de Microsoft Defender revelada públicamente por los mismos investigadores. Los hallazgos anteriores incluyen:
BlueHammer (CVE-2026-33825)
UnDefend (CVE-2026-45498)
RedSun (CVE-2026-41091)
Microsoft ya ha corregido las tres vulnerabilidades que se habían dado a conocer anteriormente.
Impacto potencial de una explotación exitosa
Si un ataque que utiliza RoguePlanet tiene éxito, el atacante obtiene una consola con permisos de nivel SYSTEM, uno de los niveles de privilegio más altos disponibles en los sistemas Windows. Este acceso permite a los ciberdelincuentes:
Ejecutar código arbitrario.
Realizar acciones no autorizadas en el sistema afectado.
Los privilegios elevados aumentan significativamente el impacto potencial de un acuerdo exitoso.
Probado con sistemas Windows completamente actualizados.
Las pruebas de seguridad confirmaron que la vulnerabilidad funciona tanto en sistemas Windows 10 como Windows 11 que ya recibieron las actualizaciones de seguridad de junio de 2026. Esto indica que las instalaciones de escritorio completamente actualizadas siguen siendo vulnerables hasta que Microsoft publique una solución definitiva.
La exposición de Windows Server requiere un método de explotación diferente.
En su forma actual, la vulnerabilidad no funciona en entornos de Windows Server porque los usuarios estándar no tienen permiso para montar imágenes ISO, un requisito de la técnica de ataque existente.
Sin embargo, esta limitación no debe interpretarse como inmunidad. Los investigadores recalcaron que las instalaciones de Windows Server siguen afectadas por la vulnerabilidad subyacente. Para que la explotación sea posible, bastaría con rediseñar el exploit para adaptarlo a las restricciones de la plataforma.
