A Microsoft confirmou oficialmente a existência de uma vulnerabilidade zero-day no Microsoft Defender identificada como RoguePlanet e informou que está desenvolvendo uma atualização de segurança para corrigir o problema. A falha recebeu o identificador CVE-2026-50656 e foi classificada como uma vulnerabilidade de elevação de privilégios, com pontuação CVSS de 7,8.

Em comunicado divulgado nesta semana, a empresa reconheceu a vulnerabilidade presente no Microsoft Malware Protection Engine, mecanismo responsável pela análise e proteção contra ameaças utilizado pelo Microsoft Defender.

"Estamos cientes de uma vulnerabilidade de elevação de privilégios no Microsoft Malware Protection Engine do Microsoft Defender, publicamente conhecida como RoguePlanet. Estamos trabalhando para fornecer uma atualização de segurança de alta qualidade para resolver essa vulnerabilidade", informou a companhia.

A confirmação ocorre poucos dias após o pesquisador de segurança conhecido como Chaotic Eclipse, também chamado de Nightmare-Eclipse, divulgar publicamente os detalhes da falha e um código de prova de conceito (PoC) capaz de explorá-la.

Segundo o pesquisador, o RoguePlanet explora uma condição de corrida, conhecida tecnicamente como race condition. Esse tipo de falha ocorre quando dois ou mais processos acessam recursos compartilhados simultaneamente, criando uma situação inesperada que pode ser manipulada por um invasor para executar ações privilegiadas.

Na prática, a exploração bem-sucedida da vulnerabilidade permite que um atacante obtenha um shell com privilégios SYSTEM, o nível mais elevado de acesso em sistemas Windows. Com esse nível de controle, um invasor pode executar comandos administrativos, modificar configurações críticas, instalar softwares maliciosos, manipular mecanismos de segurança e comprometer completamente o dispositivo afetado.

O próprio pesquisador observou que a exploração não apresenta comportamento consistente em todos os ambientes.

"O exploit utiliza uma condição de corrida, então pode funcionar ou falhar dependendo das circunstâncias. Em algumas máquinas consegui taxa de sucesso de 100%, enquanto em outras houve dificuldade para reproduzir o ataque", explicou.

Em uma atualização publicada posteriormente, Chaotic Eclipse revelou um detalhe que chamou a atenção da comunidade de segurança: o exploit aparentemente funciona independentemente do estado da proteção em tempo real do Defender.

De acordo com o pesquisador, os testes indicam que a vulnerabilidade pode ser explorada mesmo quando a proteção em tempo real está habilitada. Há indícios de que o comportamento também ocorra em ambientes configurados em modo passivo, embora essa hipótese ainda não tenha sido validada oficialmente.

Antes da confirmação pública da Microsoft, a empresa havia informado ao The Hacker News que estava analisando a legitimidade das alegações e avaliando o impacto potencial da falha em seus produtos.

O RoguePlanet representa a quarta vulnerabilidade relevante no Microsoft Defender divulgada por Chaotic Eclipse nos últimos meses. Anteriormente, o pesquisador revelou as falhas BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) e RedSun (CVE-2026-41091), todas posteriormente corrigidas pela Microsoft.

Embora ainda não existam evidências públicas de exploração em larga escala, a divulgação de um PoC funcional aumenta significativamente o interesse de agentes maliciosos. Em situações desse tipo, a janela entre a divulgação técnica e a disponibilização da correção costuma representar um período de maior risco para organizações que dependem do software afetado.

A vulnerabilidade também reforça um cenário recorrente no ecossistema de segurança: ferramentas projetadas para proteger sistemas podem se tornar alvos valiosos para invasores. Como soluções de segurança operam com privilégios elevados no sistema operacional, falhas nesses componentes frequentemente oferecem caminhos rápidos para comprometimento completo dos dispositivos.

Até o momento, a Microsoft não divulgou uma data específica para a liberação do patch que corrigirá a CVE-2026-50656.