Microsoft conferma zero-day RoguePlanet: Defender diventa vettore d'attacco

Microsoft ha confermato il 17 giugno 2026 la vulnerabilità zero-day CVE-2026-50656, battezzata RoguePlanet, nel Microsoft Malware Protection Engine di Windows Defender. La falla consente l'escalation di privilegi locale fino a SYSTEM attraverso una race condition, il meccanismo più insidioso perché colpisce proprio il componente deputato a rilevare le minacce. Il proof-of-concept è pubblico, la patch non ancora rilasciata.

Il meccanismo: perché una race condition nel motore antimalware è invisibile a se stessa

La vulnerabilità risiede nel Microsoft Malware Protection Engine (MsMpEng.exe), il processo che gira con privilegi SYSTEM ed esegue la scansione in tempo reale. Secondo l'analisi tecnica indipendente di Rescana, confermata dalla riproduzione di Picus Security e ThreatLocker, il difetto è una race condition TOCTOU: il motore esegue il controllo del percorso file e l'azione privilegiata successiva in due operazioni separate e non atomiche.

L'attaccante con accesso locale può interporre NTFS junctions o symbolic links tra il check e l'uso, redirigendo l'operazione privilegiata su un percorso da lui controllato. Il risultato è l'esecuzione di codice arbitrario con privilegi SYSTEM. La citazione diretta del ricercatore Chaotic Eclipse, pubblicata da The Hacker News, chiarisce la natura probabilistica dell'exploit: "The exploit is a race condition, so it's a hit or miss. I have managed to get a 100% success rate on some machines while it struggled to work on others."

Il dato più disturbante è nel funzionamento del PoC indipendemente dalla configurazione della protezione in tempo reale. Come ha dichiarato lo stesso ricercatore: "the PoC for RoguePlanet works regardless if real-time protection is on or not, which is hilarious. I think it even works in the case of passive mode, but not really sure, haven't tested that." Il paradosso è strutturale: il malware non aggira Defender, sfrutta Defender stesso.

La conferma Microsoft e il vuoto mitigativo

Microsoft ha rilasciato una dichiarazione ufficiale tramite il proprio advisory, citata da The Hacker News: "We are working to provide a high-quality security update that addresses this vulnerability. We will provide information in this CVE when the update is available." L'assenza di una data di rilascio lascia le organizzazioni senza correzione ufficiale.

Secondo HelpNetSecurity, Microsoft ha valutato la vulnerabilità con severità "Important" e CVSS 7.8, con il profilo di rischio "Exploitation More Likely", ma non ha rilevato exploitation in-the-wild allo stato attuale. La falla interessa Windows 10 e Windows 11 fully patched al Patch Tuesday di giugno 2026. Su Windows Server il vettore specifico del PoC (montaggio ISO) non è replicabile in configurazione standard perché gli utenti non possono montare immagini disco, ma la vulnerabilità sottostante nel motore non è eliminata: il dossier non esclude che vettori alternativi possano essere sviluppati.

"In recent weeks several zero-day vulnerabilities have been disclosed... The details of these vulnerabilities were not shared with Microsoft prior to release, and the disclosures put our customers at unnecessary risk." — Microsoft Security Response Center

Il contesto della disclosure: quattro zero-day e una disputa con MSRC

RoguePlanet non è un caso isolato. È il quarto zero-day Defender divulgato dallo stesso ricercatore, Chaotic Eclipse aka Nightmare-Eclipse, dopo BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) e RedSun (CVE-2026-41091). Le fonti editoriali concordanti — SecurityAffairs e BleepingComputer — riconducono le disclosure a una disputa sulle pratiche di bug bounty e sulla revoca dell'account MSRC del ricercatore.

Microsoft MSRC ha definito "irresponsabili" le disclosure non coordinate, ma la sequenza di quattro vulnerabilità nella stessa classe, dallo stesso attore, con exploit pubblici e patch in ritardo, solleva una questione più vasta sulla gestione dei rapporti con i ricercatori indipendenti. Gli advisory ufficiali Microsoft per le vulnerabilità precedenti (CVE-2026-41091 e CVE-2026-45498) confermano pattern identici: stesso CVSS 7.8, stessa CWE-59 (Improper Link Resolution Before File Access), stesso motore engine, stesso ricercatore.

Cosa fare adesso

La situazione è complessa perché la mitigazione non può passare attraverso il dispositivo che è esso stesso vulnerabile. In attesa della patch Microsoft, le azioni prioritarie derivanti dal dossier sono:

• Monitorare il rilascio dell'aggiornamento engine: la storia delle vulnerabilità precedenti suggerisce che Microsoft rilascerà un aggiornamento del Microsoft Malware Protection Engine; tracciare le versioni engine per intercettare il fix non appena disponibile
• Valutare l'impatto del real-time protection sulla superficie d'attacco: il dossier documenta che il PoC funziona con RTP attivo, disattivato o passivo; non esiste configurazione di Defender che mitighi la vulnerabilità
• Ridurre l'esposizione locale: l'exploit richiede accesso locale e privilegi utente standard; limitare i profili amministrativi e l'esecuzione di codice non firmato su endpoint critici riduce il perimetro di attacco documentato
• Audit delle capacità di rilevamento di terze parti: la natura del difetto nel motore stesso invalida il modello detection-first per questa specifica minaccia; il dossier non valuta l'efficacia di soluzioni EDR/XDR alternative ma documenta l'analisi strutturale di Morphisec sul concetto di "detector becomes attack surface"

Il fallimento del modello detection-first

L'episodio RoguePlanet espone un'antinomia del cybersecurity moderno: la dipendenza da un unico motore di rilevamento che, per funzionare, deve operare con privilegi massimi e accedere a ogni file del sistema. Quando quel motore è difettoso, il rilevamento non può rilevare se stesso. La persistenza dell'exploit attraverso tutte le configurazioni della protezione in tempo reale non è un bypass tecnico, è una contraddizione logica: il guardiano è il punto debole.

Il ricercatore ha dichiarato esplicitamente di non avere intenzione di perfezionare ulteriormente il PoC: "I believe (but not sure) that a redesign of the PoC can make it achieve a 100% success rate regardless of the conditions but honestly I'm done with this bug." Questa affermazione, combinata con la valutazione Microsoft di "Exploitation More Likely", indica che la weaponizzazione automatizzata è tecnicamente accessibile senza ulteriori scoperte.

Il caso non è risolvibile con una firma antivirus: richiede una riprogettazione delle operazioni atomiche nel motore, e questo è ciò che Microsoft sta sviluppando. Il tempo tra la conferma e il rilascio resta, però, non quantificato.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://thehackernews.com/2026/06/microsoft-confirms-rogueplanet-defender_02022423645.html
• https://securityaffairs.com/193830/security/microsoft-confirms-rogueplanet-zero-day-in-defender-patch-under-development.html
• https://www.helpnetsecurity.com/2026/06/17/rogueplanet-zero-day-cve-2026-50656/
• https://www.bleepingcomputer.com/news/microsoft/microsoft-working-on-defender-patch-for-rogueplanet-zero-day/
• https://www.morphisec.com/blog/microsoft-defender-zero-day-rogueplanet-when-your-detector-becomes-the-attack-surface/
• https://www.rescana.com/post/cve-2026-50656-microsoft-defender-rogueplanet-zero-day-enables-local-privilege-escalation-on-fully-patched-windows-10-11
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41091
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45498
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45585