Microsoft ha publicado una corrección para RoguePlanet (CVE-2026-50656), un zero-day en el motor antimalware de Microsoft Defender. El fallo permitía una elevación local de privilegios hasta SYSTEM en Windows 10 y Windows 11, y conviene priorizar la actualización del motor y las firmas de Defender.
Microsoft ha lanzado un parche para RoguePlanet, una vulnerabilidad zero-day de elevación local de privilegios en Microsoft Defender que permite a un atacante ejecutar código con permisos SYSTEM en Windows 10 y Windows 11. La corrección llega después de que circulase una prueba de concepto pública que demuestra la escalada incluso en equipos con las actualizaciones acumulativas de junio de 2026 ya instaladas, un matiz importante porque subraya que el problema no dependía del Patch Tuesday, sino de la capa de seguridad del propio Defender.
El fallo, registrado como CVE-2026-50656, afecta al Microsoft Malware Protection Engine, el motor que se encarga del análisis antimalware y que opera muy cerca del sistema. La vulnerabilidad se apoya en una condición de carrera que, en determinados escenarios, permite a un usuario local pasar de permisos limitados a control total del equipo. En la práctica, ese salto a SYSTEM suele servir para desactivar defensas, manipular servicios, persistir en la máquina y moverse con más facilidad por un entorno corporativo.
Uno de los detalles más incómodos del caso es que la explotación puede funcionar aunque la protección en tiempo real de Defender esté desactivada. También se ha señalado que podría afectar a configuraciones en modo pasivo, algo que todavía requiere verificación pública completa. Para organizaciones que confían en Defender como parte del stack de seguridad, esto refuerza una idea que a veces se pasa por alto: Defender se actualiza por su propia vía, y no basta con mantener Windows ‘al día’ si el motor y las definiciones no se renuevan con la misma disciplina.
La puntuación asociada, CVSS 7.8, coloca el problema en severidad alta. Microsoft asignó el identificador el 16 de junio de 2026 y actualizó el registro el 8 de julio de 2026. Aun así, no han trascendido una lista completa de versiones afectadas, ni indicadores de compromiso, ni detalles técnicos exhaustivos, y tampoco existe confirmación pública de explotación activa en ataques reales.
Para mitigar el riesgo, las prioridades son claras: actualizar de inmediato el motor y las definiciones de Microsoft Defender en toda la flota, incluidos servidores y entornos VDI, y comprobar desde la gestión centralizada que esas actualizaciones de plataforma se aplican de verdad. También conviene reforzar la monitorización de señales típicas de escalada local, como procesos inusuales lanzados por MsMpEng.exe o actividad anómala con privilegios SYSTEM. Y, como casi siempre en este tipo de fallos, el endurecimiento de accesos locales importa: una elevación de privilegios rara vez es el primer paso, suele ser la palanca tras una intrusión inicial.
Más información
- BleepingComputer – Microsoft patches RoguePlanet Defender zero-day vulnerability : https://www.bleepingcomputer.com/news/security/microsoft-patches-rogueplanet-defender-zero-day-vulnerability/
- SecurityWeek – Microsoft Working on Patch for ‘RoguePlanet’ Zero-Day : https://www.securityweek.com/microsoft-working-on-patch-for-rogueplanet-zero-day/amp/
- NVD (NIST) – CVE-2026-50656 : https://nvd.nist.gov/vuln/detail/CVE-2026-50656
