Microsoft indaga su una vulnerabilità zero-day nel proprio antivirus preinstallato, ma non ha rilasciato alcuna patch. Nel frattempo, il ricercatore che l'ha divulgata — dopo aver avuto l'account MSRC revocato e i repository rimossi — minaccia altre release. RoguePlanet, pubblicato il 10 giugno 2026, permette l'escalation locale a SYSTEM su Windows 10 e Windows 11 completamente aggiornati. È il sesto o settimo zero-day di una campagna ritributiva che ha già visto tre exploit precedenti sfruttati in ambienti reali.
- RoguePlanet: zero-day in Microsoft Defender, nessun CVE assegnato, nessuna patch al 17 giugno 2026
- Escalation locale a SYSTEM via race condition TOCTOU nella gestione file di MsMpEng.exe
- PoC funzionante su Windows 10/11 con patch di giugno 2026; validato da ThreatLocker con KB5094126
- Originariamente sviluppato come RCE via SMB/VHDX, riconvertito in LPE dopo patch Defender di maggio 2026
- Campagna Nightmare Eclipse: 6+ zero-day dal mese di aprile 2026, cadenza ~10 giorni, 3 exploit precedenti confermati ITW
- Microsoft ha condannato le divulgazioni pubbliche come "mai giustificabili"; il ricercatore allega ritorsioni
"Microsoft is aware of the reported vulnerability and is actively investigating the validity and potential applicability of these claims. Microsoft is committed to investigating security issues and updating impacted products to protect customers as soon as possible." — Portavoce Microsoft a The Hacker News
Il conflitto che ha generato la campagna
Nightmare Eclipse, noto anche come Chaotic Eclipse, ha rilasciato il codice PoC di RoguePlanet tramite l'account GitHub "MSNightmare" poche ore dopo il Patch Tuesday di giugno 2026. La scelta temporale è deliberata: quasi 200 vulnerabilità corrette in quel bollettino — il più esteso della storia Microsoft — ma RoguePlanet non inclusa.
Il ricercatore motiva la campagna come reazione diretta alle azioni di Microsoft. Secondo quanto riferisce The Hacker News, allega la revoca del proprio account MSRC e la rimozione forzata di repository su GitHub e GitLab. Microsoft ha negato di aver intrapreso azioni legali, ma ha condannato esplicitamente le divulgazioni pubbliche come "mai giustificabili". Questa dinamica conflittuale, non meramente tecnica, spiega la cadenza sostenuta: circa dieci giorni tra una release e la successiva, con sei o sette zero-day dal mese di aprile 2026 a seconda del metodo di conteggio.
Tre exploit precedenti della stessa campagna — BlueHammer, RedSun e UnDefend — sono stati confermati come sfruttati in ambienti reali prima della disponibilità delle patch. Per RoguePlanet non risulta confermato analogo sfruttamento ITW.
La meccanica del TOCTOU
RoguePlanet sfrutta una race condition Time-of-Check to Time-of-Use nel motore di Microsoft Defender. Il processo MsMpEng.exe, operante con privilegi SYSTEM, valida un percorso file prima di eseguire operazioni di scrittura o rimozione. Nell'intervallo tra verifica e azione, un attaccante con accesso locale sostituisce il target mediante NTFS junction o collegamento simbolico.
Defender scrive così contenuti controllati in posizioni protette. Picus Security descrive l'anomalia come pattern padre-figlio sospetto: MsMpEng.exe che origina processi system-level in modo inconsueto. La natura stessa della race condition rende l'exploit variabilmente affidabile.
"L'exploit è una race condition, quindi è questione di fortuna... Sono riuscito a ottenere un tasso di successo del 100% su alcune macchine, mentre su altre ha fatto fatica a funzionare." — Chaotic Eclipse/Nightmare Eclipse
Da RCE a LPE: l'evoluzione forzata
RoguePlanet non è nato come escalation locale. Secondo le dichiarazioni del ricercatore riportate da Help Net Security, la vulnerabilità è stata inizialmente sviluppata come remote code execution tramite file VHDX ospitati su share SMB. La patch distribuita da Microsoft nel maggio 2026 ha bloccato i percorsi remoti, rendendo impraticabile l'esecuzione via rete.
Il ricercatore ha quindi riadattato l'exploit in modalità locale, mantenendo inalterata la capacità di raggiungere privilegi SYSTEM. Come riporta Help Net Security, il ricercatore ha dichiarato: "In initial development, it was confirmed that this vulnerability was a remote code execution... a Windows Defender patch Microsoft pushed out in May might have made remote code execution impossible".
Il ricercatore afferma che la vulnerabilità è presente anche su Windows Server, benché il PoC attuale non vi funzioni per l'impossibilità degli utenti standard di montare immagini ISO/VHD. Le fonti non verificano indipendentemente che un'adaptation sia tecnicamente fattibile.
Validazioni indipendenti e limiti
Will Dormann ha testato l'exploit, riferendo: "it's reportedly not 100% reliable, but it worked on the first attempt for me". La sfumatura "reportedly" — indicante che l'affidabilità variabile è dato di seconda mano, non constatazione diretta — è presente nella citazione originale.
ThreatLocker ha riprodotto indipendentemente l'exploit su Windows 11 con KB5094126 applicato, conformando il funzionamento su sistema patchato. Nei test di ThreatLocker, l'application allowlisting ha bloccato l'esecuzione. Picus Security ha confermato la plausibilità meccanicistica senza riprodurre integralmente il PoC.
Perché un difetto in Defender è diverso
Microsoft Defender non è software terzo opzionale: è preinstallato su ogni sistema Windows moderno, non disinstallabile per molte configurazioni enterprise, e opera con i massimi privilegi di sistema. Un difetto nel suo motore di protezione si propaga attraverso l'intera supply chain di sicurezza: l'antivirus stesso diviene vettore di compromissione, non barriera.
Questa struttura rende impossibile per gran parte delle organizzazioni la mitigazione per sostituzione. Dove un software endpoint alternativo può essere rimosso o sostituito, Defender rimane presente anche quando "disabilitato", con componenti di sistema che continuano a operare in background.
Cosa fare adesso
Le seguenti indicazioni derivano da analisi di vendor specifiche documentate nel brief, non da raccomandazioni operative generali verificate:
- Monitorare anomalie nel pattern padre-figlio MsMpEng.exe → processi system-level, segnalato da Picus Security come indicatore comportamentale
- Valutare application allowlisting: ThreatLocker ha documentato il blocco dell'exploit nei propri test indipendenti
- Verificare che KB5094126 — validato da ThreatLocker, non confermato come requisito da Microsoft — sia applicato come baseline di patch di giugno 2026
- Riconoscere che Windows Server non è attualmente vulnerabile al PoC pubblicato, ma monitorare eventuali varianti adattate
Microsoft non ha comunicato tempistiche per un eventuale patch out-of-band né confermato l'inclusione nel ciclo di luglio 2026.
Chiusura editoriale
RoguePlanet esiste in uno spazio di incertezza calcolata: Microsoft indaga senza patch, il ricercatore minaccia ulteriori divulgazioni, e il software coinvolto è quello che più organizzazioni non possono rimuovere. La campagna Nightmare Eclipse ha già dimostrato capacità di sfruttamento in ambienti reali con exploit precedenti. Per questo zero-day specifico, la linea tra proof-of-concept e weaponizzazione non è ancora stata attraversata — ma la finestra resta aperta.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/microsoft-defender-rogueplanet-zero-day.html
- https://cybelangel.com/blog/rogueplanet-microsoft-defender-zero-day-2026/
- https://www.helpnetsecurity.com/2026/06/10/microsoft-patch-tuesday-rogueplanet/
- https://www.picussecurity.com/resource/blog/rogueplanet-anatomy-of-the-nightmare-eclipse-microsoft-defender-zero-day
- https://securityboulevard.com/2026/06/microsoft-defender-zero-day-privilege-escalation-vulnerability-rogueplanet/
- https://www.securityweek.com/new-windows-zero-day-exploit-rogueplanet-released/