Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Uno scudo che rappresenta il logo di Microsoft Defender, con una finitura metallica opaca e bordi lisci e arrotondati, si trova nel cuore di un potente e turbinoso vortice meteorologico, circondato da nubi minacciose con intricate formazioni e drammatiche illuminazioni dai toni di blu scuro e nero. Un bagliore elettrico blu freddo e luminoso emana dal retro dello scudo, proiettando una luce radiante e azzurra sul vortice circostante, che forma una cornice vorticosa attorno allo scudo. La scena è piena di fulmini che serpeggiano attraverso le masse nuvolose, irradiandosi verso l'esterno dalle immediate vicinanze dello scudo e riempiendo le porzioni più distanti dello sfondo di nubi con un'illuminazione intermittente e brillante. Lo scudo stesso è chiaramente definito da quattro segmenti identici e leggermente più scuri, formando una croce al centro che divide il pannello principale in quattro sezioni separate. La prospettiva è diretta, focalizzata sullo scudo e sul vortice circostante, con un'atmosfera generale di protezione, sicurezza e potenza contro elementi travolgenti.

Microsoft conferma lo 0-day RoguePlanet in Defender e sta per rilasciare la patch

18 Giugno 2026 11:54
In sintesi

Microsoft ha riconosciuto una grave vulnerabilità zero-day, battezzata come RoguePlanet, nel suo antivirus Defender. La falla, classificata come Elevation of Privilege, sfrutta una race condition nel motore di scansione in tempo reale e permette l'esecuzione di comandi con privilegi elevati. La comunità di sicurezza è preoccupata per la facilità con cui l'exploit può essere attivato, indipendentemente dallo stato della protezione in tempo reale.

Microsoft ha ufficialmente riconosciuto il bug zero-day in Microsoft Defender, battezzato come “RoguePlanet” del quale avevamo parlato in precedenza. La società sta attualmente sviluppando una patch, che consente di risolvere il problema. Il bug di sicurezza è monitorato attraverso il codice CVE-2026-50656, ed è stato pubblicato il 16 giugno 2026 dal Microsoft Security Response Center (MSRC) con un punteggio CVSS di 7.8 secondo il framework CVSS 3.1.

La falla in questione è una Privilege Escalation collegata al CWE-59, la quale colpisce il Microsoft Malware Protection Engine, il componente che effettua le scansioni dei malware ed è integrato in Microsoft Defender. Il vettore CVSS indica che si tratta di una vulnerabilità sfruttabile in locale e che richiede bassi privilegi oltre a nessuna interazione da parte dell’utente, con un impatto elevato su riservatezza, integrità e disponibilità.

La gravità della situazione è ulteriormente evidenziata dal fatto che il livello di rimedio è indicato come “Non Disponibile” e la maturità del codice di sfruttamento è valutata come “Funzionale”, confermando l’esistenza di un proof-of-concept (PoC) pubblico funzionante.

RoguePlanet è stato rilasciato il 10 giugno 2026, poche ore dopo la diffusione e la distribuzione del Patch Tuesday di giugno 2026 da parte di Microsoft, da un ricercatore di sicurezza noto con gli alias Nightmare Eclipse e Chaotic Eclipse del quale abbiamo parlato più volte su queste pagine.

L’exploit sfrutta una race condition Time-of-Check to Time-of-Use (TOCTOU) nel motore di scansione in tempo reale di Defender. Approfittando della breve finestra temporale tra quando Defender verifica un percorso del file e quando agisce su di esso, l’exploit avvia una finestra di comando di Windows che opera con i privilegi più alti del sistema NT AUTHORITY\SYSTEM.

La vulnerabilità colpisce sistemi Windows 10 e Windows 11 completamente aggiornati, inclusi quelli con l’aggiornamento cumulativo di giugno 2026 KB5094126. La società di cybersecurity ThreatLocker ha indipendentemente riprodotto l’exploit, confermandone la validità su sistemi Windows 11 completamente aggiornati.

In un aggiornamento, Nightmare Eclipse ha rivelato che il PoC funziona indifferentemente dal fatto che la protezione in tempo reale di Defender sia attivata o disattivata e potrebbe funzionare anche in modalità passiva. L’affidabilità dell’exploit varia da macchina a macchina a causa della sua natura race-condition, ma il ricercatore ha espresso fiducia nel poterlo affinare l’exploit per ottenere tassi di successo costanti.

Gli sforzi della comunità di sicurezza per rilevare o bloccare il PoC tramite firme sono stati in gran parte inefficaci, poiché modifiche minori al PoC possono aggirare completamente le mitigazioni. 

La società ha dichiarato: “Stiamo lavorando per fornire un aggiornamento di sicurezza di alta qualità che risolve questa vulnerabilità”. Microsoft non ha ancora annunciato una data specifica per il rilascio della patch, e l’avviso CVE sarà aggiornato non appena l’aggiornamento di sicurezza sarà disponibile.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response