Microsoft corrige vulnerabilidade zero-day RoguePlanet

A Microsoft lançou uma atualização de segurança para corrigir a vulnerabilidade zero-day no Defender conhecida como “RoguePlanet“, divulgada após o Patch Tuesday de junho de 2026. A falha, registrada como CVE-2026-50656, foi revelada pelo pesquisador que usa o pseudônimo “Nightmare Eclipse” em meio a uma disputa com a Microsoft sobre suas práticas de bug bounty e divulgação de vulnerabilidades.

O pesquisador também compartilhou um proof-of-concept (PoC) do exploit em um repositório Git auto-hospedado, afirmando que a Microsoft havia removido anteriormente seus repositórios com exploits no GitHub e no GitLab. De acordo com Nightmare Eclipse, o RoguePlanet afeta dispositivos Windows 10 e Windows 11 totalmente atualizados, permitindo que atacantes abram um prompt de comando com privilégios SYSTEM por meio de uma condição de corrida (race condition) no Microsoft Defender.

“O exploit é uma condição de corrida, então é uma questão de acerto ou erro. Consegui obter 100% de sucesso em algumas máquinas, enquanto em outras ele teve dificuldade para funcionar”, explicou o pesquisador. “O PoC para RoguePlanet funciona independentemente de a proteção em tempo real estar ativada ou não”, acrescentou.

A Microsoft confirmou em 16 de junho que estava trabalhando em um patch para a CVE-2026-50656, mas ainda não reconheceu que Nightmare Eclipse descobriu a vulnerabilidade.

Correção via atualização do mecanismo antimalware

Ontem, a empresa corrigiu a vulnerabilidade RoguePlanet lançando o Microsoft Malware Protection Engine 1.1.26060.3008, uma atualização do mecanismo de varredura principal que alimenta suas soluções e serviços de segurança. “A Microsoft lançou uma atualização para o Microsoft Malware Protection Engine que aborda a vulnerabilidade identificada por CVE-2026-50656”, informou a empresa.

Nos últimos meses, Nightmare Eclipse divulgou vários outros exploits zero-day para Windows, incluindo as falhas BlueHammer, RedSun, GreenPlasma, MiniPlasma, YellowKey e UnDefend. Enquanto algumas dessas vulnerabilidades afetam o Microsoft Defender, outras atingem o BitLocker e componentes do Windows. A Microsoft corrigiu as falhas GreenPlasma, MiniPlasma e YellowKey há um mês, como parte das atualizações do Patch Tuesday de junho de 2026.

A Microsoft também reagiu às divulgações de Nightmare Eclipse emitindo avisos de ações legais contra pessoas envolvidas no que descreveu como “atividade maliciosa que causa danos reais aos nossos clientes”, levando especialistas em cibersegurança a acreditarem que a Microsoft estava ameaçando diretamente o pesquisador.