"RoguePlanet": una falla zero-day in Microsoft Defender concede i privilegi di sistema
La vulnerabilità colpisce lo strumento di sicurezza stesso, anche su Windows aggiornato, ed è già sfruttata. Microsoft sta lavorando alla correzione.
C'è una particolare ironia quando è lo strumento incaricato di proteggere un computer a diventare la porta d'ingresso. Il 16 giugno Microsoft ha riconosciuto una vulnerabilità zero-day in Microsoft Defender, l'antivirus integrato in Windows, già sfruttata in attacchi reali. È catalogata come CVE-2026-50656, con un punteggio di gravità di 7,8 su 10, e ribattezzata "RoguePlanet".
Una race condition nel motore di scansione
Il difetto è una cosiddetta race condition nel motore di scansione antimalware: un errore nella sequenza temporale dei controlli che un attaccante può sfruttare per eseguire codice con i privilegi massimi del sistema, NT AUTHORITY\SYSTEM. Secondo le ricostruzioni colpisce anche sistemi Windows 10 e 11 pienamente aggiornati, compresi quelli con l'ultimo cumulativo di giugno.
Nessun software è immune, nemmeno quello pensato per difendere.
Un exploit già pubblico
Un exploit funzionante è stato reso pubblico il 10 giugno, poche ore dopo il consueto "Patch Tuesday" mensile. Al momento dell'annuncio Microsoft aveva una correzione in fase di sviluppo, senza una data di rilascio.
NT AUTHORITY\SYSTEM. Colpisce Windows 10 e 11 pienamente aggiornati; exploit pubblico dal 10 giugno, vulnerabilità riconosciuta da Microsoft il 16 giugno.Cosa fare nell'attesa
Per gli amministratori di sistema è un promemoria di un principio scomodo: nessun software è immune, nemmeno quello pensato per difendere. Nell'attesa, la riduzione dei privilegi degli account e il monitoraggio dei comportamenti anomali restano le contromisure più sensate.
