RoguePlanet: El Exploit de Día Cero que Compromete Microsoft Defender
RoguePlanet: El Exploit de Día Cero que Compromete Microsoft Defender
Introducción
El 10 de junio de 2026, horas después de que Microsoft publicara su Patch Tuesday de junio, el mayor en la historia de la compañía, con correcciones para casi 200 vulnerabilidades y 208 CVEs registrados, el investigador de seguridad conocido por los seudónimos Chaotic Eclipse (también llamado como Nightmare Eclipse) publicó de forma abierta y sin coordinación previa con el fabricante el código funcional de un exploit de día cero catalogado como RoguePlanet. Este fallo afecta directamente a Microsoft Defender, el motor de antimalware nativo de Windows, y ha sido verificado sobre sistemas completamente parcheados que ya incorporaban las actualizaciones de junio de 2026. Múltiples investigadores independientes confirmaron que el exploit funciona para lograr escalación local de privilegios.
RoguePlanet no es un hecho aislado: representa la adición más reciente a una serie de divulgaciones públicas no coordinadas que el investigador ha venido ejecutando desde abril de 2026, en lo que muchos analistas han caracterizado como una escalada deliberada de tensiones frente a Microsoft, cuya raíz se encontraría en un conflicto no resuelto sobre el proceso de reporte de vulnerabilidades y compensaciones económicas.
¿Qué es RoguePlanet?
RoguePlanet es el identificador asignado al exploit que se aprovecha de una falla lógica en el servicio principal de Microsoft Defender —MsMpEng.exe— para permitir que un actor con acceso local al sistema escale sus privilegios hasta el nivel SYSTEM, la cuenta que tiene la mayor autoridad en la arquitectura de Windows.
Naturaleza del fallo
- Tipo de vulnerabilidad: Escalación de privilegios locales (LPE, Local Privilege Escalation) combinada con una condición de carrera (race condition).
- Componente afectado: Motor de escaneo de Microsoft Defender (
MsMpEng.exe) y sus operaciones de lectura/escritura sobre el sistema de archivos durante el análisis en tiempo real, específicamente en la APImpengine!SysIO*. - Efecto directo: Un usuario con privilegios estándar o limitados puede obtener una sesión de consola con derechos
SYSTEM, neutralizando los controles de acceso del sistema operativo. - Vector de acceso: Local (AV:L), lo que implica que el atacante debe tener ya una sesión autenticada en la máquina objetivo, ya sea de forma física o remota a través de otros medios.
- Estado del parche: Sin CVE asignado ni parche oficial disponible al momento de la divulgación.
¿Por qué es especialmente grave?
El riesgo de que el software de seguridad sea, en sí mismo, lo vuelve mas complejo. Las organizaciones que dependen exclusivamente de Microsoft Defender como metodo de protección de endpoints quedan expuestas a un escenario donde la herramienta diseñada para detectar y bloquear amenazas actúa involuntariamente como el medio para la ejecución maliciosa con los máximos privilegios del sistema operativo. Esto altera el principio de defense-in-depth.
Agravando el contexto, el investigador declaró públicamente tener en su poder un lote adicional de vulnerabilidades de corrupción de memoria en Defender, así como fallos en otros componentes de Windows, con intención de continuar sus divulgaciones.
¿Cómo Funciona?
El mecanismo central de RoguePlanet se basa en la explotación de una condición de carrera (race condition) dentro de Microsoft Defender. Comprender su funcionamiento actual requiere también entender su evolución técnica, ya que el exploit sufrió transformaciones significativas antes de su publicación final.
Historia técnica del exploit — de RCE a LPE
De acuerdo con el blog del propio investigador, fechada el 9 de junio de 2026, RoguePlanet atravesó tres fases de desarrollo:
Fase 1 — Ejecución remota de código (RCE) original:
En su forma inicial, la vulnerabilidad permitía ejecución remota de código. El mecanismo requería que un atacante presionara a la víctima a abrir un archivo .vhd o .vhdx desde un servidor SMB remoto. La explotación exitosa resultaba en que Defender sobreescribía sus propios archivos, lo que llevaba a la ejecución de código arbitrario. En un escenario adicional, si la víctima tenía habilitada la evaluación de symlinks R2L (right-to-left), el RCE era alcanzable con solo presionar a la víctima a abrir el recurso compartido SMB, sin ninguna interacción adicional.
Fase 2 — Bypass de BitLocker:
Una variante identificada durante el desarrollo inicial permitía un bypass completo de BitLocker. Requería un dispositivo especializado capaz de entregar datos distintos a NTFS.sys cuando Defender intentaba leer el archivo contaminado, permitiendo redirigir el archivo recién remediado hacia una ubicación arbitraria.
Fase 3 — LPE (estado actual tras el parche de mayo de 2026):
A mediados de mayo de 2026, Microsoft introdujo un parche en mpengine!SysIO* que inutilizó los ataques de redirección de rutas (junction attacks). El investigador debió reescribir RoguePlanet desde cero para restaurar su funcionalidad. El resultado de esta reescritura, completada a finales de mayo, es el PoC publicado el 10 de junio: un exploit de escalación local de privilegios cuyo funcionamiento actual no depende de redirección de rutas.
Mecanismo de explotación en su forma actual
-
Montaje de una imagen ISO: El exploit requiere que el usuario local monte una imagen ISO en el sistema. Este es el vector de entrada controlado por el atacante. Es también la razón directa por la que el PoC no funciona sobre Windows Server: los usuarios estándar no tienen permisos para montar imágenes ISO en ese entorno.
-
Inducción del escaneo de Defender: Una vez montado el ISO, los archivos contenidos son escaneados automáticamente por el motor de análisis en tiempo real de Defender. Esto activa el proceso privilegiado
MsMpEng.exesobre artefactos bajo control del atacante. -
Explotación de la condición de carrera: El núcleo del exploit reside en ganar la carrera temporal entre el momento en que Defender inicia sus operaciones sobre los artefactos montados y el momento en que las finaliza. Durante esa ventana crítica, el exploit ejecuta una operación concurrente que interfiere con el flujo de procesamiento privilegiado.
-
Suplantación de ruta y apertura de shell SYSTEM: Al ganar la condición de carrera, el exploit ha logrado que Defender deposite el payload del atacante en una ruta que, mediante una cadena de junctions NTFS, resuelve hacia
C:\Windows\System32\wermgr.exe. A continuación, el exploit invoca programáticamente la tarea programada nativa\Microsoft\Windows\Windows Error Reporting\QueueReportinga través de la API COM de Task Scheduler. Dicha tarea, presente en toda instalación estándar de Windows y que corre bajoSYSTEM, intenta ejecutarwermgr.exedesde System32 pero en su lugar ejecuta el binario del exploit. Esta nueva instancia, ahora con privilegiosNT AUTHORITY\SYSTEM, se reconecta al named pipe\\.\pipe\RoguePlanet, identifica la sesión del usuario interactivo medianteGetNamedPipeServerSessionId, y genera un procesoconhost.exeen esa sesión con el token SYSTEM, resultando en una consola interactiva con los máximos privilegios del sistema.
Características técnicas y aclaraciones críticas
- Fiabilidad variable por diseño: El exploit no es determinístico. El investigador advierte explícitamente: “es una condición de carrera, así que es un acierto o un fallo.” Will Dormann (investigador de seguridad reconocido en la comunidad) reportó que funcionó a la primera en sus pruebas, pero múltiples reportes señalan comportamiento inconsistente. Un comentario publicado en el blog del investigador sugiere que incrementar la prioridad del proceso a tiempo real, fijar la afinidad a un solo núcleo y usar múltiples objetivos WER (Windows Error Reporting) mejora significativamente la tasa de éxito.
- Origen como RCE degradado: La variante más peligrosa, RCE remoto vía SMB, existió y fue verificada en laboratorio. El parche de mayo de 2026 sobre
mpengine!SysIO*habría cerrado esa vía; sin embargo, el investigador indicó que aún no está claro si alguna variante del exploit podría recuperar capacidad RCE. - Alcance sobre BitLocker posiblemente vigente: El investigador señaló que el bypass de BitLocker “podría ser factible incluso con los cambios” introducidos en mayo, aunque no tiene certeza al respecto.
- Declaración sobre memorias adicionales: El investigador afirmó poseer “un lote de vulnerabilidades de corrupción de memoria en Defender, así como vulnerabilidades en otros componentes”, sugiriendo que la superficie de ataque identificada es más amplia de lo que el PoC actual expone.
- Tamaño del PoC: El archivo
RoguePlanet.cpppublicado en GitHub pesa 5.5 MB, evidenciando una implementación de considerable complejidad técnica, congruente con el relato del investigador de semanas de trabajo.
Sistemas Afectados
Según la información técnica divulgada en el repositorio de GitHub (MSNightmare/RoguePlanet) y confirmada por investigadores independientes:
- Windows 10 (canal oficial, con actualizaciones de junio de 2026 instaladas) — confirmado por el investigador
- Windows 11 (canal oficial y canal Canary, con actualizaciones de junio de 2026) — confirmado por el investigador y verificado por Will Dormann en Mastodon
- Windows Server 2019, 2022 y 2025 — el investigador afirma que la vulnerabilidad subyacente afecta a todas las versiones de Server; el PoC publicado no funciona directamente en este entorno porque los usuarios estándar no pueden montar imágenes ISO, pero el fallo persiste y requiere un vector de explotación rediseñado
Nota del investigador (README, repositorio MSNightmare/RoguePlanet): “Quiero dejar algo muy claro. Todas las instalaciones de Windows Server son vulnerables también; simplemente necesitas rediseñar el exploit.”
El Conflicto de Fondo
Desde abril de 2026, el investigador ha publicado la siguiente serie de exploits no coordinados:
| Nombre | CVE | Componente | Estado |
|---|---|---|---|
| BlueHammer | CVE-2026-33825 | Microsoft Defender | Parcheado, explotado en la naturaleza |
| RedSun | CVE-2026-41091 | Microsoft Defender | Parcheado (silenciosamente), explotado en la naturaleza |
| UnDefend | CVE-2026-45498 | Microsoft Defender | Parcheado, explotado en la naturaleza |
| YellowKey | CVE-2026-45585 | BitLocker | Parcheado en junio de 2026 |
| GreenPlasma | CVE-2026-45586 | Windows CTFMON | Parcheado en junio de 2026 |
| MiniPlasma | (sin CVE público) | No especificado | En investigación |
| RoguePlanet | (sin CVE asignado) | Microsoft Defender | Sin parche. Divulgado el 10/06/2026 |
| GreatXML | (sin CVE asignado) | BitLocker | Sin parche. Divulgado el 11/06/2026 |
Adicionalmente, el investigador ha anunciado intención de divulgar un exploit relacionado con la aplicación de drivers WHCP (Windows Hardware Compatibility Program) de abril de 2026.
La disputa con Microsoft
Chaotic Eclipse detalló los agravios que motivaron sus divulgaciones públicas:
- Revocación de su cuenta en Microsoft Security Response Center (MSRC), impidiendo la presentación de reportes por los canales oficiales
- Rechazo de reportes de vulnerabilidades previamente presentados
- Falta de compensación económica por vulnerabilidades identificadas
- Acciones que el investigador califica como difamación y uso indebido de la propiedad de Microsoft sobre GitHub para eliminar sus repositorios y cuentas
Como respuesta a las eliminaciones de GitHub y GitLab, el investigador anunció el desarrollo de infraestructura de alojamiento alternativa en git.projectnightcrawler.dev.
La postura pública de Microsoft
A finales de mayo de 2026, el Microsoft Security Response Center publicó una entrada de blog titulada “A Shared Responsibility: Protecting Customers Through Coordinated Vulnerability Disclosure”, en la que:
- Calificó las divulgaciones públicas no coordinadas como actos que ponen a los clientes en “riesgo innecesario”
- Describió que sus equipos de seguridad han trabajado de forma ininterrumpida desde las divulgaciones para desarrollar parches y proteger a los clientes de los actores de amenaza que han adoptado los exploits publicados
- Reafirmó el modelo de Divulgación Coordinada de Vulnerabilidades (CVD) como el estándar de la industria
- Aclaró que no tiene intención de emprender acciones legales contra investigadores por la publicación de investigaciones de seguridad, pero sí actuará con las autoridades cuando se produzca actividad maliciosa con daño real a clientes
Recapitulando …
RoguePlanet representa una categoría de amenaza particularmente inquietante: la conversión de las propias herramientas de defensa en vectores de ataque activos. A continuación, los puntos ejecutivos clave para las organizaciones:
-
El perímetro de confianza se ha contraído hacia el interior. La premisa de que “si el antivirus está activo, estamos protegidos” queda cuestionada de manera directa. Las soluciones de seguridad nativas deben ser tratadas bajo la filosofía de zero trust y monitoreadas con el mismo rigor que cualquier otra aplicación de usuario.
-
El impacto corporativo es crítico y multidimensional. Un atacante que ya haya comprometido una estación de trabajo con privilegios bajos podría escalar a
SYSTEMy proceder con movimiento lateral, volcado de credenciales o deshabilitación de la telemetría de seguridad. La situación se agrava considerando que el investigador declaró poseer vulnerabilidades adicionales en Defender y otros componentes aún no divulgadas. -
La detección basada en comportamiento es la primera y más viable línea defensiva. Ante la inviabilidad de bloquear el fallo a nivel de firma hasta que exista un parche, las organizaciones deben priorizar la detección de comportamientos anómalos post-explotación sobre la dependencia exclusiva en la detección de artefactos maliciosos conocidos.
-
Revisión urgente de la estrategia de capas de defensa. Este incidente demuestra la importancia de no depender de un unico metodo de seguridad. La implementación complementaria de soluciones EDR de terceros, el monitoreo activo mediante SIEM y la aplicación rigurosa del principio de mínimo privilegio siguen siendo pilares importantes de una postura de seguridad resiliente.
Actualización (17 de junio de 2026)
El 17 de junio de 2026, Microsoft rompió su silencio inicial sobre RoguePlanet y reconoció formalmente la existencia de la falla. La compañía le otorgó el identificador CVE-2026-50656, con una severidad de 7.8 sobre 10 según la escala CVSS, clasificándola como una vulnerabilidad de elevación de privilegios dentro del motor de Microsoft Defender. En su comunicado, Microsoft reconoció estar al tanto del problema y señaló que se encuentra desarrollando una corrección.
Este reconocimiento marca un cambio de postura respecto a la semana anterior, cuando la compañía únicamente indicaba estar “investigando la validez y aplicabilidad” de las afirmaciones del investigador, sin confirmar nada concreto.
Con este CVE, RoguePlanet pasa a ser la cuarta falla de Defender que Chaotic Eclipse logra que Microsoft reconozca oficialmente, tras BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) y RedSun (CVE-2026-41091), las tres ya corregidas en parches anteriores.
Detalle adicional revelado por el investigador
Un día antes de la confirmación de Microsoft, el propio Chaotic Eclipse publicó en su blog personal una breve aclaración técnica que había omitido en su divulgación inicial. Según el investigador, la efectividad de RoguePlanet no depende de que la protección en tiempo real de Defender esté habilitada: el exploit funciona tanto si está activa como si está desactivada. El investigador calificó este hallazgo como “gracioso” dada la naturaleza de la falla, y planteó la posibilidad —sin confirmarla— de que el comportamiento se replique también bajo el modo pasivo del motor.
Para efectos prácticos, esto cierra una puerta que algunos equipos de seguridad podrían haber considerado como mitigación de emergencia: apagar el escaneo en tiempo real no reduce el riesgo de explotación.
Estado actual
- CVE asignado: CVE-2026-50656
- Severidad: 7.8 (CVSS)
- Parche: En desarrollo, sin fecha de lanzamiento confirmada al momento de esta actualización
- Mitigación temporal: No existe una mitigación confiable conocida; la falla persiste sin importar el estado de la protección en tiempo real
Referencias
Lakshmanan, R. (2026, junio 10). Microsoft Defender RoguePlanet zero-day grants SYSTEM access on updated Windows. The Hacker News. https://thehackernews.com/2026/06/microsoft-defender-rogueplanet-zero-day.html
Zorz, Z. (2026, junio 10). Record Microsoft Patch Tuesday, fresh zero-day. Help Net Security. https://www.helpnetsecurity.com/2026/06/10/microsoft-patch-tuesday-rogueplanet/
Paganini, P. (2026, junio 10). Chaotic Eclipse unveils RoguePlanet exploit targeting fully patched Windows. Security Affairs. https://securityaffairs.com/193436/security/chaotic-eclipse-unveils-rogueplanet-exploit-targeting-fully-patched-windows.html
Paganini, P. (2026, junio 11). Chaotic Eclipse strikes again: New zero-day unlocks BitLocker in four hours of research. Security Affairs. https://securityaffairs.com/193516/security/chaotic-eclipse-strikes-again-new-zero-day-unlocks-bitlocker-in-four-hours-of-research.html
Nightmare Eclipse. (2026, junio 9). RoguePlanet, a quick history [Entrada de blog firmada criptográficamente]. Nightmare Eclipse Blog. https://deadeclipse666.blogspot.com/2026/06/rogueplanet-quick-history.html
Lakshmanan, R. (2026, junio 17). Microsoft Confirms RoguePlanet Defender Zero-Day, Says Patch is in Development. The Hacker News. https://thehackernews.com/2026/06/microsoft-confirms-rogueplanet-defender_02022423645.html
Eclipse, N. (2026, junio 16). RoguePlanet, another quick statement [Entrada de blog firmada con PGP]. PNC Blog. https://blog.projectnightcrawler.dev/posts/2026-06-16-rogueplanet-another-quick-statement/