RoguePlanet: nuova vulnerabilità zero-day in Microsoft Defender concede privilegi SYSTEM su Windows 11 (aggiornato: 10 giugno 2026, ore 07:07)

A poche ore dal Patch Tuesday di giugno 2026, il "solito" ricercatore di sicurezza noto come Nightmare Eclipse ha pubblicato un ennesimo exploit proof-of-concept chiamato RoguePlanet che prende di mira una vulnerabilità zero-day in Microsoft Defender. Il risultato, quando l'exploit va a segno, è un prompt dei comandi con privilegi SYSTEM - il livello più alto ottenibile su una macchina Windows. Nessuna patch disponibile, nessun CVE assegnato, e un codice funzionante già verificato in modo indipendente. Per chi amministra reti Windows, è il momento di prestare attenzione.

Una race condition nel cuore dell'antivirus

RoguePlanet sfrutta una race condition nel servizio antimalware nativo di Windows. È una vulnerabilità di escalation dei privilegi locale (LPE): un utente con accesso standard può ottenere privilegi SYSTEM senza alcuna interazione aggiuntiva da parte della vittima.

La storia tecnica, però, è più articolata. Nella sua forma originale, la vulnerabilità consentiva l'esecuzione di codice da remoto (RCE). Il vettore di attacco passava per la gestione dei file su condivisioni SMB remote: convincendo la vittima ad aprire un file .vhd o .vhdx ospitato su un server SMB controllato dall'attaccante, Defender finiva per sovrascrivere i propri file. Un secondo scenario RCE era possibile se le impostazioni di valutazione dei symlink risultavano abilitate.

A metà maggio 2026, Microsoft ha silenziosamente rafforzato Defender correggendo l'API mpengine!SysIO*, bloccando gli attacchi tramite junction e i vettori RCE - senza alcun annuncio pubblico. La mossa ha costretto Nightmare Eclipse a riscrivere l'exploit da zero. Lo stesso ricercatore non ha nascosto la fatica: «Riscrivere RoguePlanet per renderlo di nuovo funzionante mi ha prosciugato l'anima. Non sono riuscito a completare gli altri scenari e per ora non è chiaro se RoguePlanet sia limitato a LPE o se esista un modo per trasformarlo in un RCE».

Funziona, ma non sempre

Essendo una race condition, l'affidabilità dell'exploit varia da macchina a macchina. Nightmare Eclipse lo descrive senza giri di parole: «L'exploit è una race condition, quindi è un colpire o meno. Su alcune macchine ho ottenuto un tasso di successo del 100%, mentre su altre faceva fatica a funzionare».

I sistemi confermati come vulnerabili includono Windows 11 (canale ufficiale e build Canary) e Windows 10, entrambi con gli aggiornamenti di sicurezza di giugno 2026 già installati. La società di sicurezza ThreatLocker ha riprodotto l'exploit su Windows 11 con l'aggiornamento KB5094126 applicato, condividendo un video dimostrativo con BleepingComputer. «La nostra analisi iniziale conferma che l'exploit RoguePlanet è praticabile e funziona come descritto», ha dichiarato Danny Jenkins, CEO di ThreatLocker.

Un dettaglio rilevante per gli amministratori di infrastrutture: la PoC attuale non funziona su Windows Server, perché gli utenti standard non possono montare immagini ISO. Nightmare Eclipse sostiene tuttavia che tutte le versioni di Windows Server siano fondamentalmente vulnerabili e che basterebbe riprogettare l'exploit per colpirle. Non è esattamente una rassicurazione.

Come proteggersi, adesso

In assenza di una patch ufficiale, le opzioni di mitigazione sono limitate ma concrete. I test di ThreatLocker hanno dimostrato che l'application allowlisting - consentire l'esecuzione solo di applicazioni esplicitamente autorizzate - blocca l'exploit. Jenkins ha confermato che questo approccio fornisce «un livello di protezione efficace contro questo attacco».

Altre precauzioni raccomandate:

• Evitare di aprire condivisioni SMB remote o file .vhd(x) provenienti da fonti non fidate.
• Monitorare l'esecuzione di script sospetti originati da immagini ISO montate.
• Verificare che le policy di sicurezza locale limitino la possibilità di montare immagini disco da parte di utenti non privilegiati.

Al momento della stesura di questo articolo, Microsoft non ha rilasciato alcun avviso pubblico né assegnato un CVE a RoguePlanet. Non esistono evidenze confermate di sfruttamento attivo della vulnerabilità.

Un ricercatore in guerra con Microsoft

Nightmare Eclipse ha pubblicato diversi zero-day di Windows negli ultimi mesi, in quella che appare come una disputa aperta con Microsoft sulle pratiche di divulgazione delle vulnerabilità e sui programmi di bug bounty. La PoC è ospitata su un repository Git autogestito dopo che, secondo il ricercatore, exploit precedenti erano stati rimossi da GitHub e GitLab su richiesta di Microsoft.

» Leggi: Rilasciati due nuovi zero-day per Windows: YellowKey bypassa BitLocker, GreenPlasma scala a SYSTEM - il codice degli exploit è disponibile pubblicamente

» Leggi: MiniPlasma è il nuovo exploit per Windows 11 che sfrutta una vulnerabilità... corretta nel 2020?!?

» Leggi: RedSun: zero-day per Windows Defender scavalca tutte le protezioni

» Leggi: UnDefend: il nuovo attacco zero-day che blocca Windows Defender (senza privilegi admin)

» Leggi: [Upd: aggiornamento disponibile] BlueHammer: exploit zero-day per Windows pubblicato su GitHub

Quello che emerge è il profilo di un singolo ricercatore che ha accumulato un arsenale di vulnerabilità critiche nei componenti fondamentali di Windows. Che le sue motivazioni siano legittime o meno, il risultato pratico non cambia: codice funzionante, pubblicamente accessibile, contro sistemi privi di correzione. Per gli amministratori di sistema, è il momento di smettere di leggere e iniziare a implementare le mitigazioni.

Fonti: bleepingcomputer.com, securityonline.info, radar.offseq.com