// 3 ZERO-DAY · 3 CVE · 2 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
CVE-2026-50656 consente privilege escalation a SYSTEM tramite il motore di Microsoft Defender. Il fix arriva via update automatico, non patch Windows. Aziende con

Microsoft ha distribuito il 9 luglio 2026 un aggiornamento del Microsoft Malware Protection Engine che corregge la vulnerabilità zero-day CVE-2026-50656, battezzata RoguePlanet. La falla consente a un attaccante con accesso locale come utente standard di elevare i privilegi fino a NT AUTHORITY\SYSTEM, il livello più alto nel sistema operativo Windows. Il paradosso è immediato: il prodotto di sicurezza predefinito si trasforma, per chi ne abusa, nel percorso più breve per il compromesso totale della macchina.

Il fix non passa attraverso il consueto ciclo di patch mensili di Windows, ma tramite l'aggiornamento automatico del motore antivirus — un meccanismo che in molte organizzazioni enterprise non è così trasparente come appare.

Punti chiave
  • CVE-2026-50656 è una elevation of privilege nel Microsoft Malware Protection Engine con CVSS 7.8 (HIGH) e vettore di attacco locale, non remoto.
  • La vulnerabilità risiede in una falla di tipo CWE-59 Link Following che, sfruttata con successo, consegna i privilegi di NT AUTHORITY\SYSTEM.
  • La versione patchata del motore è la 1.1.26060.3008; la 1.1.26050.11 è l'ultima vulnerabile confermata da Microsoft.
  • Microsoft classifica l'exploitability come "More Likely" e conferma che la vulnerabilità è pubblicamente divulgata, anche se non risulta exploitation in-the-wild al momento dell'advisory.

Il Microsoft Security Response Center descrive la vulnerabilità come una elevation of privilege nel motore antimalware. Secondo Microsoft, "Microsoft is aware of an elevation of privilege in the Microsoft Malware Protection Engine in Microsoft Defender publicly referred to as 'RoguePlanet'". La classificazione CWE-59 — Improper Link Resolution Before File Access — indica che il motore non risolve correttamente i link simbolici o junction prima di accedere ai file, aprendo una finestra di race condition o path manipulation controllabile dall'attaccante.

Malwarebytes, che ha fornito la prima analisi tecnica pubblica, precisa che "if successfully exploited, RoguePlanet can allow an attacker to elevate privileges from a standard user account to NT AUTHORITY\SYSTEM, the highest privilege level on Windows". Il vettore richiede accesso locale e privilegi di utente standard (PR:L nell'indicatore CVSS), nessuna interazione utente aggiuntiva (UI:N) e non si estende oltre la risorsa compromessa (S:U). Il rischio concreto è la compromissione completa della macchina: confidentiality, integrity e availability tutte al massimo livello di impatto (C:H/I:H/A:H).

Il dato che distingue RoguePlanet da molte altre elevation of privilege è la superficie di attacco. Non serve trovare un servizio esposto o un driver di terze parti. Basta che Microsoft Defender sia attivo e che il motore vulnerabile processi un file appositamente costruito. L'antivirus, progettato per proteggere, diventa il canale di ingresso.

"Systems that have disabled Microsoft Defender are not in an exploitable state" — Microsoft Security Response Center

Il problema nascosto degli update automatici in azienda

Microsoft distribuisce la correzione attraverso il meccanismo di aggiornamento automatico del motore antivirus, che per impostazione predefinita scarica e applica le nuove definizioni e versioni del engine senza richiedere riavvio o intervento amministrativo. Questo flusso, in teoria, rende l'intero parco Windows resiliente entro poche ore.

In pratica, le organizzazioni con deployment gestiti spesso implementano policy di update differiti, canali di ring controllati, o addirittura blocchi espliciti per garantire stabilità e compatibilità. In questi ambienti il motore antivirus può rimanere indietro di giorni o settimane rispetto alla versione patchata, pur in presenza di un sistema operativo aggiornato. Il rischio è una falsa sensazione di protezione: il sistema appare corretto, ma il motore antivirus — componente con privilegi SYSTEM — rimane vulnerabile.

Microsoft chiarisce un caso limite: se Defender è disabilitato per presenza di un prodotto antivirus alternativo, "Systems that have disabled Microsoft Defender are not in an exploitable state" anche se i file binari del motore sono ancora presenti su disco. La condizione di exploitabilità è strettamente legata all'esecuzione attiva del servizio, non alla mera presenza dei file.

Cosa fare adesso

  • Verificare la versione del motore su ogni endpoint attraverso la console di sicurezza di Windows o gli strumenti di gestione enterprise; la versione target è la 1.1.26060.3008 o successiva.
  • Controllare che l'aggiornamento automatico del motore antivirus non sia bloccato da policy di gruppo, regole di ring deployment o strumenti di gestione patch in uso nell'organizzazione.
  • Auditare i sistemi dove Microsoft Defender è l'antivirus attivo e dove il deployment del motore non segue il canale standard; questi endpoint sono quelli con finestra di rischio più ampia.
  • Rivedere le policy di update differito per il Microsoft Malware Protection Engine alla luce della exploitability assessment "More Likely" e della conferma di pubblica divulgazione della vulnerabilità.

Perché il caso RoguePlanet è più di una patch

Il caso RoguePlanet solleva una questione architetturale che il settore preferisce ignorare: i prodotti di sicurezza endpoint, per funzionare, richiedono privilegi elevatissimi e accesso profondo al filesystem, alla memoria, ai processi. Questa concentrazione di potere li rende bersagli naturali. Quando il motore antivirus contiene una falla di link following, l'attaccante non deve più bypassare il sistema di sicurezza: lo attraversa.

Microsoft ha gestito la disclosure con trasparenza — la vulnerabilità è pubblica, l'exploitability è alta, il fix è disponibile — ma la governance del rischio resta nelle mani degli amministratori IT. Il gap tra "update disponibile" e "update applicato" è dove si gioca la partita, soprattutto in ambienti dove la velocità di patching è intenzionalmente rallentata. La lezione di RoguePlanet è che la sicurezza del motore antivirus non può più essere considerata un dato di fatto: va verificata, versione per versione, con la stessa attenzione riservata al sistema operativo.

L'identità del ricercatore o gruppo che ha divulgato la vulnerabilità non risulta dai documenti ufficiali. Microsoft non specifica se codice di exploit funzionante sia pubblicamente disponibile, sebbene il campo CVSS indichi "Functional exploit code is available". I dettagli tecnici precisi del meccanismo di link following non sono stati pubblicati, limitando la capacità di valutare varianti o tecniche di mitigazione alternative.

Domande frequenti

Devo installare un aggiornamento Windows o basta attendere?

Non è richiesta una patch del sistema operativo. L'aggiornamento del Microsoft Malware Protection Engine avviene automaticamente attraverso il canale di aggiornamento delle firme antivirus. Se l'aggiornamento automatico è attivo e non bloccato da policy, nessuna azione manuale è necessaria.

Come posso sapere se il mio sistema è protetto?

Controllare la versione del motore antivirus nelle informazioni di Microsoft Defender. La versione 1.1.26060.3008 o successiva include la correzione. La versione 1.1.26050.11 è l'ultima vulnerabile confermata da Microsoft.

Se uso un antivirus di terze parti, sono a rischio?

No. Secondo l'advisory Microsoft, i sistemi che hanno disabilitato Microsoft Defender non sono in stato exploitable, anche se i file binari del motore sono presenti su disco. La condizione di exploitabilità richiede che Defender sia attivo.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. malwarebytes.com
  2. cve.org
  3. msrc.microsoft.com