Un investigador de seguridad conocido como Nightmare Eclipse ha revelado una nueva vulnerabilidad de día cero en Microsoft Defender denominada "RoguePlanet", que afecta a sistemas Windows 10 y 11 completamente actualizados. Esta falla de seguridad permite a los atacantes obtener privilegios de SISTEMA mediante una condición de carrera en el antivirus de Microsoft, lo que representa un riesgo significativo para millones de usuarios. El exploit fue publicado apenas horas después de que Microsoft lanzara su actualización de Patch Tuesday más grande de la historia, en la que corrigió dos vulnerabilidades previamente divulgadas, pero no esta nueva amenaza.
El investigador compartió una prueba de concepto del exploit en su propio repositorio Git después de que GitHub y GitLab eliminaran sus repositorios anteriores a petición de Microsoft. Nightmare Eclipse advirtió que el exploit funciona mediante una condición de carrera, lo que significa que su efectividad puede variar según el sistema, aunque en algunos equipos ha logrado una tasa de éxito del 100%. La firma de ciberseguridad ThreatLocker confirmó la viabilidad del exploit tras reproducirlo exitosamente en sus pruebas con sistemas Windows 11 totalmente actualizados con el parche KB5094126 instalado.
Originalmente, RoguePlanet fue desarrollado como una vulnerabilidad de ejecución remota de código que explotaba el manejo de archivos alojados en recursos compartidos SMB remotos por parte de Microsoft Defender. El ataque requería que la víctima abriera un archivo VHD o VHDX en un servidor SMB remoto, lo que resultaba en que Defender sobrescribiera sus propios archivos y, en consecuencia, permitiera la ejecución remota de código. Sin embargo, Microsoft endureció silenciosamente las defensas de Defender a mediados de mayo al parchear la API "mpengine!SysIO*", bloqueando así los ataques de tipo junction.
Según el investigador, reescribir RoguePlanet para que funcionara nuevamente después de este parche silencioso fue extremadamente difícil, y por ahora no está claro si la vulnerabilidad está limitada a la escalada de privilegios locales o si puede convertirse nuevamente en una vulnerabilidad de ejecución remota de código. ThreatLocker recomienda que las organizaciones utilicen listas de aplicaciones permitidas para prevenir la ejecución del exploit, proporcionando una capa efectiva de protección contra este tipo de ataques mientras Microsoft trabaja en una solución definitiva.
Artículos relacionados de LaRebelión:
- Vulnerabilidad Critica en Linux por Un Solo Caracter
- Microsoft Defender Zero-Day Vulnerability Exposes Windows Systems
- Vulnerabilidad CVE-2026-42271 en LiteLLM Explotada Activamente
- Gusano Miasma 73 Repos de Microsoft Comprometidos en GitHub
- Solara de Microsoft IA en Dispositivos No Apps
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario