Un investigador de seguridade coñecido como Nightmare Eclipse publicou unha proba de concepto denominada RoguePlanet, que explota unha vulnerabilidade de tipo race condition en Microsoft Defender e permitiría a un usuario local sen privilexios obter permisos de nivel SYSTEM, o nivel máis elevado dispoñible nos sistemas Windows.
Segundo a información publicada, a vulnerabilidade afectaría sistemas Windows 10 e Windows 11 completamente actualizados, incluíndo equipos coas actualizacións de seguridade de xuño de 2026 instaladas. No momento de redactar esta alerta, Microsoft non asignou un identificador CVE nin publicou un aviso oficial de seguridade asociado a este comportamento.
A vulnerabilidade baséase nunha condición de carreira (race condition) presente en determinados procesos internos de tratamento de ficheiros realizados por Microsoft Defender.
O ataque aproveita unha discrepancia temporal entre a validación dunha operación sobre un ficheiro e a súa posterior execución. Mediante a manipulación de rutas e puntos de unión NTFS (junction points), un atacante local podería conseguir que Microsoft Defender, que se executa con privilexios SYSTEM, realice operacións sobre localizacións controladas polo atacante.
Segundo o investigador, esta técnica permite redirixir determinadas operacións internas do antivirus e executar código con privilexios elevados.
O enfoque lembra vulnerabilidades do tipo TOCTOU (Time-of-Check to Time-of-Use) observadas anteriormente en Windows Defender, onde a validación inicial dunha ruta de ficheiro non coincide coa localización final sobre a que se executa a operación.
Estado actual
De acordo coa información publicada:
- Non existe parche de seguridade dispoñible.
- Non se asignou un CVE oficial.
- A proba de concepto foi publicada publicamente.
- A explotación foi demostrada sobre Windows 10 e Windows 11 actualizados.
- O investigador afirma que Windows Server tamén sería vulnerable, aínda que a proba de concepto actual non permite explotalo directamente debido a limitacións técnicas da súa implementación.
Diversas empresas de seguridade indicaron que a técnica parece viable e coherente co comportamento observado en vulnerabilidades anteriores relacionadas con Microsoft Defender.
Impacto potencial
Un atacante que xa dispoña de acceso local a un sistema podería:
- Escalar privilexios ata SYSTEM.
- Obter control completo sobre o equipo afectado.
- Desactivar mecanismos de seguridade.
- Instalar malware con privilexios elevados.
- Crear usuarios privilexiados.
- Acceder a información sensible.
- Manter persistencia no sistema.
- Facilitar movementos laterais dentro da organización.
Aínda que a vulnerabilidade non proporciona acceso remoto inicial, podería resultar especialmente valiosa en cadeas de ataque posteriores ao compromiso inicial.
Técnicas MITRE ATT&CK potencialmente asociadas
A explotación desta vulnerabilidade podería estar relacionada coas seguintes técnicas do marco MITRE ATT&CK:
| Técnica | Nome |
| T1068 | Exploitation for Privilege Escalation |
| T1548 | Abuse Elevation Control Mechanism |
| T1574 | Hijack Execution Flow |
| T1036 | Masquerading |
| T1055 | Process Injection |
| T1543 | Create or Modify System Process |
Estas técnicas son habituais en escenarios de postexplotación nos que o obxectivo é obter privilexios elevados e consolidar o acceso ao sistema comprometido.
Indicadores de detección
As organizacións deberían prestar especial atención a:
- Creación inesperada de procesos con privilexios SYSTEM.
- Actividade anómala asociada a procesos de Microsoft Defender.
- Uso sospeitoso de puntos de unión NTFS (junction points).
- Eventos relacionados coa modificación de rutas de ficheiros protexidos.
- Escaladas de privilexios sen unha causa administrativa xustificada.
- Comportamentos anómalos detectados por solucións EDR ou XDR.
Recomendacións
Mentres non exista unha actualización oficial, recoméndase:
- Aplicar o principio de mínimo privilexio a usuarios e servizos.
- Limitar a capacidade dos usuarios para executar software non autorizado.
- Supervisar a creación de procesos con privilexios SYSTEM.
- Reforzar a monitorización mediante solucións EDR/XDR.
- Revisar alertas relacionadas con Microsoft Defender.
- Implantar listas brancas de aplicacións sempre que sexa posible.
- Manter actualizados os sistemas operativos e as ferramentas de seguridade.
- Investigar calquera elevación de privilexios inesperada.
A publicación de RoguePlanet pon de manifesto como as vulnerabilidades de escalada de privilexios continúan representando unha ameaza significativa mesmo en sistemas completamente actualizados.
Aínda que a vulnerabilidade require acceso previo ao equipo, a dispoñibilidade pública dunha proba de concepto funcional incrementa o risco de que sexa incorporada a futuras cadeas de ataque. Ata que Microsoft publique información adicional ou unha corrección oficial, resulta recomendable reforzar a monitorización de eventos relacionados con privilexios elevados e aplicar medidas adicionais de defensa en profundidade.
Referencias
- Nightmare Eclipse
- GitHub RoguePlanet PoC
- Microsoft Defender
- MITRE ATT&CK
