A Microsoft publicou nesta quarta-feira um aviso reconhecendo a divulgação pública de uma vulnerabilidade no Defender que pode levar à escalada de privilégios.
O defeito de segurança, agora rastreado como CVE-2026-50656 (com pontuação CVSS — Sistema de Pontuação de Vulnerabilidades Comuns — de 7,8), foi divulgado na semana passada pelo pesquisador de segurança Nightmare Eclipse (também conhecido como Chaotic Eclipse).
"A Microsoft está ciente de uma escalada de privilégios no Microsoft Malware Protection Engine no Microsoft Defender, publicamente conhecida como 'RoguePlanet'", diz o aviso da gigante da tecnologia.
"Estamos trabalhando para fornecer uma atualização de segurança de alta qualidade que corrija essa vulnerabilidade. Forneceremos informações neste CVE (catálogo público de vulnerabilidades) quando a atualização estiver disponível", acrescenta a Microsoft.
O RoguePlanet, explicou Nightmare Eclipse na semana passada, tem como alvo uma condição de corrida no Microsoft Defender e permite que invasores obtenham privilégios de System (sistema).
O pesquisador lançou um exploit de prova de conceito (PoC) que demonstra escalada local de privilégios (LPE) em sistemas Windows 11 e Windows 10 com os patches de junho de 2026 instalados.
Inicialmente, observou Nightmare Eclipse, o bug poderia ser usado para execução remota de código (RCE), mas alguns dos caminhos de exploração foram fechados em maio, quando a Microsoft lançou atualizações que reforçaram o Defender.
O PoC do RoguePlanet foi reformulado para contornar essas mitigações e pode ser instável. No entanto, o pesquisador afirmou estar confiante de que ele poderia ser refinado para funcionar o tempo todo, inclusive em sistemas Windows Server.
Na quarta-feira, Nightmare Eclipse destacou que o PoC funciona independentemente de a proteção em tempo real do Defender estar ativada ou desativada. Pode até funcionar no modo passivo, disse o pesquisador.
Nos últimos meses, movido pelo descontentamento com o processo de divulgação de vulnerabilidades da Microsoft, Nightmare Eclipse divulgou vários exploits de zero-day mirando os produtos da empresa, incluindo BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) e UnDefend (CVE-2026-45498), que foram explorados em ataques reais.
A Microsoft lançou correções para todos os três, e as atualizações do Patch Tuesday (rodada mensal de correções) de junho de 2026 incluíram patches para outros dois exploits de Nightmare Eclipse, GreenPlasma e YellowKey.
RoguePlanet é o segundo exploit de Nightmare Eclipse mencionado em um aviso da Microsoft. O primeiro foi o YellowKey, em um aviso de maio fornecendo mitigações enquanto acusava o pesquisador de violar as boas práticas de divulgação coordenada de vulnerabilidades. Os comentários da Microsoft provocaram reação negativa da comunidade de segurança cibernética.
