RoguePlanet (CVE-2026-50656): una condición de carrera en Microsoft Defender otorga privilegios SYSTEM
Resumen rápido
Investigadores han revelado una escalada de privilegios local en el motor antimalware de Microsoft Defender. Mediante una condición de carrera TOCTOU, un atacante con acceso a un Windows 10/11 totalmente actualizado puede obtener SYSTEM, incluso con la protección en tiempo real activa.
Se ha hecho pública CVE-2026-50656, bautizada RoguePlanet (CVSS 7.8): una escalada de privilegios local en el Microsoft Malware Protection Engine, el motor que da vida a Microsoft Defender. Permite que un atacante con acceso de bajo privilegio a un Windows 10 u 11 completamente parcheado obtenga privilegios SYSTEM.
Resumen ejecutivo
| Campo | Valor |
|---|---|
| Identificador | CVE-2026-50656 |
| CVSS | 7.8 (Alta) |
| Tipo | Escalada de privilegios local (TOCTOU) |
| Componente | Microsoft Malware Protection Engine |
| Resultado | SYSTEM en Win10/11 totalmente parcheado |
| Condición | Funciona con Protección en Tiempo Real activa |
| Investigadores | "Nightmare Eclipse" / "Chaotic Eclipse" |
| Estado del parche | En desarrollo en el momento de la divulgación |
La paradoja: el defensor como vector
Lo notable de RoguePlanet es que el componente abusado es precisamente el antimalware. La técnica explota una condición de carrera TOCTOU (time-of-check to time-of-use): el atacante manipula un recurso entre el momento en que Defender lo valida y el momento en que lo utiliza, logrando que el motor —que corre como SYSTEM— opere sobre un objeto controlado por el atacante.
El resultado es una elevación de un contexto de usuario estándar a SYSTEM. Según los investigadores, el fallo funciona incluso con la Protección en Tiempo Real activada, lo que lo hace especialmente valioso como pieza de post-explotación: una vez dentro con privilegios limitados (p. ej., tras un phishing o la explotación de una app), RoguePlanet eleva a SYSTEM sin desplegar herramientas obvias, abusando de un componente firmado y de confianza.
Por qué es peligroso
- Bajos requisitos: solo hace falta ejecución con privilegios de usuario.
- Sigiloso: abusa de un binario legítimo de Microsoft, lo que dificulta la detección por firmas.
- Universal: afecta a Windows 10 y 11 al día de parches.
- Encaja en cualquier intrusión: la escalada local es el eslabón que conecta el acceso inicial con el control total del host.
Estado del parche
En el momento de la divulgación, Microsoft tenía el parche en desarrollo sin fecha pública confirmada. Conviene recordar que el motor de Defender se actualiza automáticamente de forma independiente al ciclo mensual ("Patch Tuesday"), por lo que la corrección suele propagarse sin intervención cuando esté lista. Verifica que las actualizaciones automáticas del motor antimalware estén habilitadas y que la versión del motor sea reciente.
Indicadores y caza
- Procesos de usuario estándar que obtienen un token SYSTEM de forma anómala.
- Manipulación de ficheros (creación/borrado/renombrado en ráfaga) sobre rutas usadas por el motor antimalware —síntoma del race—.
- Aparición de procesos hijo con privilegios elevados tras la actividad de Defender.
Mitigación y respuesta
- Mantener el motor de Defender actualizado (actualizaciones automáticas activas); aplicar el parche en cuanto Microsoft lo publique.
- Vigilar transiciones de privilegio anómalas en el endpoint.
- Aplicar el principio de mínimo privilegio: limitar quién puede ejecutar código arbitrario reduce el alcance de una privesc.
- Reforzar el control de aplicaciones (allowlisting) para frenar el acceso inicial que habilita la cadena.
Cobertura en DefensOps
Las escaladas de privilegios locales son el eslabón silencioso de casi toda intrusión seria. DefensOps no depende de un único agente de endpoint: correla transiciones de privilegio anómalas (T1068), manipulaciones de ficheros contra procesos de seguridad (T1211) y la obtención inusual de tokens SYSTEM (T1078) para detectar la elevación aunque el exploit en sí sea novedoso, desde el plan Professional.
Fuentes
SecurityWeek; The Hacker News; Morphisec; Help Net Security; investigadores "Nightmare/Chaotic Eclipse".
Análisis elaborado y sintetizado por el equipo de DefensOps Threat Intel a partir de las fuentes citadas.
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Professional.
Técnicas MITRE ATT&CK: T1068, T1055, T1211, T1078
- Escalada de privilegios local a SYSTEM detectada · T1068 — Exploitation for Privilege Escalation · regla 111780 · plan Professional
- Condición de carrera / manipulación de fichero contra proceso de seguridad · T1211 — Exploitation for Defense Evasion · regla 111786 · plan Professional
- Proceso de usuario obtiene token SYSTEM de forma anómala · T1078 — Valid Accounts · regla 111791 · plan Enterprise
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.