Mastodon Mastodon Mastodon Mastodon

Análisis de RoguePlanet y posible regresión DoS en Microsoft Defender

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Microsoft ha solucionado la vulnerabilidad crítica de elevación de privilegios CVE-2026-50656 (RoguePlanet) en Microsoft Defender, con una puntuación de 7,8 en CVSS; sin embargo, según datos no confirmados de un investigador, la corrección publicada podría haber creado un nuevo vector para ataques de denegación de servicio (DoS). El problema afecta a los sistemas Windows 10 y Windows 11, y la actualización del motor Microsoft Malware Protection Engine a la versión 1.1.26060.3008 se instala automáticamente. Se recomienda a los administradores comprobar la versión del motor y vigilar el espacio libre en disco en los sistemas críticos hasta recibir aclaraciones oficiales por parte de Microsoft.

Vulnerabilidad original RoguePlanet

Según el boletín oficial de Microsoft, la vulnerabilidad CVE-2026-50656 está relacionada con una condición de carrera (race condition) en Microsoft Defender. De acuerdo con la entrada en la NVD, la vulnerabilidad obtuvo una puntuación de 7,8 en la escala CVSS, lo que corresponde a un nivel de criticidad alto. Su explotación permite elevar privilegios hasta el nivel SYSTEM y ejecutar código arbitrario en sistemas completamente actualizados.

Estado de explotación: existe un PoC exploit público para la vulnerabilidad; no obstante, en el momento de la publicación no se han registrado casos confirmados de explotación activa en ataques reales. La vulnerabilidad no se ha incluido en el catálogo CISA KEV.

Posible regresión: vector DoS a través de Zone.Identifier

Además de la corrección principal, la actualización incluía medidas de protección adicionales. El investigador Nightmare Eclipse afirma en su blog que dichas medidas han creado un posible vector para un ataque DoS capaz de llenar por completo el disco del sistema. Es importante subrayar que esta afirmación se basa en una única fuente y no ha sido confirmada por Microsoft.

Según la descripción del investigador, el mecanismo del problema funciona del siguiente modo:

  • En condiciones normales, Defender limita el tamaño de los archivos que se escriben durante el análisis y el envío de objetos a cuarentena, evitando así el agotamiento del espacio en disco.
  • Tras la actualización, supuestamente apareció una excepción relacionada con la subestructura en la nube SpyNet y el tratamiento de los flujos de datos alternativos NTFS (ADS) de tipo Zone.Identifier.
  • Zone.Identifier es un ADS oculto que Windows añade automáticamente a los archivos descargados de Internet para almacenar información sobre el origen del archivo y su zona de seguridad.
  • Según el investigador, después de la actualización Defender intenta guardar una copia local de Zone.Identifier sin limitar el tamaño del flujo.

Escenario de explotación descrito

De acuerdo con la descripción no confirmada de Nightmare Eclipse, la explotación requiere un servidor SMB configurado específicamente, que:

  1. Procese las peticiones de Windows Defender y entregue un archivo ejecutable sospechoso (el investigador pone como ejemplo Mimikatz).
  2. Comience a enviar un flujo de datos alternativo de tamaño anómalo (por ejemplo, mimikatz.exe:Zone.Identifier).
  3. En un momento determinado deje de responder a las peticiones de lectura, pero sin cerrar la conexión.

Como resultado, según el investigador, Defender continúa escribiendo datos en el disco incluso después de que falle el procesamiento del objeto, hasta que el espacio libre se agote por completo. El sistema operativo, supuestamente, sigue funcionando, pero el disco lleno provoca múltiples errores en aplicaciones y servicios del sistema.

Grado de fiabilidad y posición de Microsoft

Es necesario tener en cuenta limitaciones importantes a la hora de evaluar esta información:

  • La descripción del nuevo vector de ataque procede de una única fuente —el blog del investigador— y no ha sido confirmada por expertos independientes.
  • En el momento de la publicación, Microsoft no ha confirmado el comportamiento descrito de Defender ni ha respondido a las consultas de los medios sobre este asunto.
  • Los detalles de la cadena de explotación a través de SMB y la escritura ilimitada de ADS no han sido verificados en fuentes primarias del proveedor.

Contexto: serie de revelaciones de Nightmare Eclipse

La situación con RoguePlanet forma parte de un conflicto en curso entre el investigador y Microsoft. Según la información disponible, Nightmare Eclipse hizo pública información sobre varias vulnerabilidades de día cero en componentes de Windows, entre ellas CVE-2026-33825 (BlueHammer), CVE-2026-41091 (RedSun), CVE-2026-45498 (UnDefend), CVE-2026-45585 (YellowKey) y CVE-2026-45586 (GreenPlasma). El investigador acusa al Microsoft Security Response Center de ignorar sus informes y bloquear sus cuentas, mientras que Microsoft criticó la publicación de exploits antes de la aparición de parches, aunque posteriormente declaró que no tenía intención de perseguir a los investigadores de seguridad.

Recomendaciones

  • Compruebe la versión del motor: asegúrese de que Microsoft Malware Protection Engine está actualizado a la versión 1.1.26060.3008 o superior; esto cierra la vulnerabilidad confirmada CVE-2026-50656.
  • Supervisión del espacio en disco: hasta disponer de una posición oficial de Microsoft sobre la supuesta regresión, configure alertas sobre la reducción crítica del espacio libre en los discos del sistema de servidores y estaciones de trabajo.
  • Control del tráfico SMB: limite en el perímetro y dentro de la red las conexiones SMB entrantes a fuentes de confianza. Esto reduce el riesgo tanto para el escenario descrito como para muchas otras clases de ataques a través de SMB.
  • Auditoría de la cuarentena de Defender: revise periódicamente el tamaño del directorio de cuarentena de Microsoft Defender para detectar crecimientos anómalos.

La principal amenaza confirmada —CVE-2026-50656— ya está mitigada mediante la actualización automática del motor de Defender. El posible efecto colateral del parche en forma de DoS a través de Zone.Identifier sigue sin confirmarse y se basa en una única declaración. Hasta la respuesta oficial de Microsoft, una medida razonable consiste en configurar la supervisión del espacio en disco y limitar el acceso SMB a recursos no confiables; estas acciones son útiles con independencia de que se confirme o no el nuevo problema.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.