El 17 de juny de 2026, Microsoft va publicar l'advisory de CVE-2026-50656, el zero-day al Microsoft Malware Protection Engine que impulsa Microsoft Defender, que l'investigador de seguretat Nightmare Eclipse havia divulgat dies abans sota el nom RoguePlanet. La vulnerabilitat es una race condition que permet a un atacant local amb privilegis baixos obtenir una shell cmd.exe amb privilegis NT AUTHORITY\SYSTEM en Windows 10 i Windows 11 completament pedaçats. El PoC es public. No existeix pedàç disponible. Els tres zero-days anteriors del mateix investigador, BlueHammer, RedSun i UnDefend, ja van ser explotats en atacs reals abans de ser pedaçats.

Que se sap de CVE-2026-50656 RoguePlanet?

  • Vulnerabilitat: race condition TOCTOU al path de processament de fitxers del Microsoft Malware Protection Engine. Mitjançant redireccions de path a NTFS (junctions i symlinks), un usuari sense privilegis pot fer que el motor segueixi un enllaç simbolic cap a una ruta que no hauria de poder escriure.
  • CVSS 7.8 (High): atac local, sense interacció de l'usuari requerida després de l'accés inicial, privilegis baixos com a punt de partida.
  • Windows afectats: Windows 10 i Windows 11 completament pedaçats amb el Patch Tuesday de juny 2026. Windows Server no esta afectat en la forma actual del PoC.
  • Comportament del PoC: la race condition fa que l'exploit sigui probabilistic. El PoC funciona tant amb Real-Time Protection activada com desactivada, i tambe en mode passiu.
  • Sense pedàç disponible: la unica mitigació tecnica efectiva es Application Control en mode enforced (WDAC o AppLocker).
  • Historial de zero-days: BlueHammer, RedSun i UnDefend ja van ser explotats en atacs reals. GreenPlasma i YellowKey van ser pedaçats al Patch Tuesday de juny. RoguePlanet es el seguent i no te pedàç.

Per que un LPE al motor de Defender es un risc de primer ordre

  1. Defender esta instal·lat i actiu per defecte al 100% dels endpoints Windows corporatius. La superficie d'atac es el parc complet d'endpoints Windows de l'organització.
  2. LPE es el segon pas de la majoria dels atacs avancçats, i el mes valuos. Amb SYSTEM, l'atacant pot instal·lar persistència, deshabilitar EDRs, exfiltrar credencials del LSASS i pivotar cap a altres sistemes.
  3. L'historial de l'investigador prediu explotació real proxima. BlueHammer, RedSun i UnDefend van ser explotats en atacs reals. No existeix cap rao per assumir que RoguePlanet sera diferent.

Com funciona RoguePlanet

  1. L'atacant crea un directori controlat i munta una imatge ISO.
  2. Provoca que el motor de Defender processi un fitxer a la ruta controlada.
  3. Durant la finestra TOCTOU, converteix el directori en un junction o symlink cap a una ruta privilegiada.
  4. Defender segueix l'enllaç simbolic i executa operacions amb SYSTEM a la ruta del sistema.
  5. Shell SYSTEM obtinguda via fitxer maliciós executat en la ruta privilegiada.

Lliçons clau i mitigacions disponibles sense pedàç

Mitigació efectiva:

  • WDAC en mode enforced. Picus Security confirma que bloqueja el PoC de RoguePlanet. Es l'unica mitigació tecnica solida disponible abans del pedàç.
  • Cloud-Delivered Protection a Microsoft Defender. Recomanada per Microsoft en l'advisory.
  • Regles ASR. Limiten els vectors d'accés inicial que precedeixen tipicament una LPE.

Detecció:

  • Monitoritzar la creació de processos cmd.exe o powershell.exe amb parent process MsMpEng.exe. Aquest arbre de processos es altament anomal.
  • Detectar intents de muntatge d'imatges ISO per usuaris estandard.
  • Configurar alertes per a accessos d'escriptura de MsMpEng.exe a rutes fora del directori esperat.

Deshabilitar Real-Time Protection NO es una mitigació:

  • El PoC funciona tant amb RTP activada com desactivada i tambe en mode passiu.

La ciberseguretat com a prioritat estrategica

RoguePlanet es el segon post en quatre dies sobre zero-days sense pedàç en eines de seguretat: Splunk Enterprise el dilluns, Microsoft Defender avui. La pregunta d'avui no es si RoguePlanet sera explotat. Es si l'organització tindra WDAC en enforced mode i detecció de processos SYSTEM spawnats per MsMpEng.exe quan passi.

Apolo Cybersecurity: avaluació de la postura de seguretat d'endpoints Windows davant CVE-2026-50656

A Apolo Cybersecurity ajudem organitzacions a avaluar i reforcar la seva postura davant zero-days sense pedàç com RoguePlanet: revisió de l'estat de WDAC i AppLocker a la flota d'endpoints, configuració de regles de detecció, implementació de regles ASR i Cloud-Delivered Protection.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity