Se ha hecho pública CVE-2026-50656, bautizada RoguePlanet (CVSS 7.8): una escalada de privilegios local en el Microsoft Malware Protection Engine, el motor que da vida a Microsoft Defender. Permite que un atacante con acceso de bajo privilegio a un Windows 10 u 11 completamente parcheado obtenga privilegios SYSTEM.

Resumen ejecutivo

Campo Valor
Identificador CVE-2026-50656
CVSS 7.8 (Alta)
Tipo Escalada de privilegios local (TOCTOU)
Componente Microsoft Malware Protection Engine
Resultado SYSTEM en Win10/11 totalmente parcheado
Condición Funciona con Protección en Tiempo Real activa
Investigadores "Nightmare Eclipse" / "Chaotic Eclipse"
Estado del parche En desarrollo en el momento de la divulgación

La paradoja: el defensor como vector

Lo notable de RoguePlanet es que el componente abusado es precisamente el antimalware. La técnica explota una condición de carrera TOCTOU (time-of-check to time-of-use): el atacante manipula un recurso entre el momento en que Defender lo valida y el momento en que lo utiliza, logrando que el motor —que corre como SYSTEM— opere sobre un objeto controlado por el atacante.

El resultado es una elevación de un contexto de usuario estándar a SYSTEM. Según los investigadores, el fallo funciona incluso con la Protección en Tiempo Real activada, lo que lo hace especialmente valioso como pieza de post-explotación: una vez dentro con privilegios limitados (p. ej., tras un phishing o la explotación de una app), RoguePlanet eleva a SYSTEM sin desplegar herramientas obvias, abusando de un componente firmado y de confianza.

Por qué es peligroso

  • Bajos requisitos: solo hace falta ejecución con privilegios de usuario.
  • Sigiloso: abusa de un binario legítimo de Microsoft, lo que dificulta la detección por firmas.
  • Universal: afecta a Windows 10 y 11 al día de parches.
  • Encaja en cualquier intrusión: la escalada local es el eslabón que conecta el acceso inicial con el control total del host.

Estado del parche

En el momento de la divulgación, Microsoft tenía el parche en desarrollo sin fecha pública confirmada. Conviene recordar que el motor de Defender se actualiza automáticamente de forma independiente al ciclo mensual ("Patch Tuesday"), por lo que la corrección suele propagarse sin intervención cuando esté lista. Verifica que las actualizaciones automáticas del motor antimalware estén habilitadas y que la versión del motor sea reciente.

Indicadores y caza

  • Procesos de usuario estándar que obtienen un token SYSTEM de forma anómala.
  • Manipulación de ficheros (creación/borrado/renombrado en ráfaga) sobre rutas usadas por el motor antimalware —síntoma del race—.
  • Aparición de procesos hijo con privilegios elevados tras la actividad de Defender.

Mitigación y respuesta

  1. Mantener el motor de Defender actualizado (actualizaciones automáticas activas); aplicar el parche en cuanto Microsoft lo publique.
  2. Vigilar transiciones de privilegio anómalas en el endpoint.
  3. Aplicar el principio de mínimo privilegio: limitar quién puede ejecutar código arbitrario reduce el alcance de una privesc.
  4. Reforzar el control de aplicaciones (allowlisting) para frenar el acceso inicial que habilita la cadena.

Cobertura en DefensOps

Las escaladas de privilegios locales son el eslabón silencioso de casi toda intrusión seria. DefensOps no depende de un único agente de endpoint: correla transiciones de privilegio anómalas (T1068), manipulaciones de ficheros contra procesos de seguridad (T1211) y la obtención inusual de tokens SYSTEM (T1078) para detectar la elevación aunque el exploit en sí sea novedoso, desde el plan Professional.

Fuentes

SecurityWeek; The Hacker News; Morphisec; Help Net Security; investigadores "Nightmare/Chaotic Eclipse".

Análisis elaborado y sintetizado por el equipo de DefensOps Threat Intel a partir de las fuentes citadas.