Microsoft parcheó un zero-day en Windows Defender que llevaba 29 días con código de explotación funcional circulando libremente. Pero hay un detalle que convierte la solución en otro problema: el propio parche introduce un comportamiento que podría permitir a atacantes escribir archivos de tamaño ilimitado hasta agotar todo el espacio disponible en el disco duro.
La vulnerabilidad, identificada como CVE-2026-50656 y apodada “RoguePlanet”, afecta a Windows 10 y Windows 11 completamente parcheados.
Permite a un atacante local obtener privilegios de nivel SYSTEM —el máximo en Windows— aprovechando una condición de carrera en el motor de escaneo de Defender. Lo más incómodo: el exploit funciona independientemente de que la protección en tiempo real esté activada o no.
29 días con el código de explotación en la calle
El investigador conocido como NightmareEclipse publicó un proof-of-concept funcional el 10 de junio de 2026, horas después de que Microsoft lanzara su actualización mensual de junio.
El código vivió en un repositorio auto-hospedado —después de que GitHub y GitLab le eliminaran las cuentas— durante casi un mes antes de que Microsoft liberara el parche el 9 de julio. El motor actualizado es la versión 1.1.26060.3008, que se distribuye automáticamente.
Pero RoguePlanet no es el primer zero-day de NightmareEclipse. Son siete zero-days publicados desde abril de 2026: BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma, MiniPlasma y RoguePlanet. Tres de los primeros —BlueHammer, RedSun y UnDefend— fueron explotados en ataques reales antes de que Microsoft pudiera parchearlos. CISA los agregó a su catálogo de vulnerabilidades explotadas activamente.
El problema de fondo: Defender corre como SYSTEM
La razón por la que este tipo de vulnerabilidades se repite es arquitectónica. Microsoft Defender ejecuta su motor de escaneo con privilegios de SYSTEM —el nivel más alto de Windows— porque necesita poder acceder a cualquier archivo del sistema para eliminar amenazas. Eso significa que cualquier error en la manipulación de archivos del escáner se escala automáticamente a compromiso total del sistema.
RoguePlanet explota una condición de carrera (CWE-59): el escáner verifica que una ruta de archivo sea legítima, luego realiza una operación privilegiada sobre ella, pero esos dos pasos no son atómicos. Un atacante que pueda reemplazar lo que la ruta apunta —usando un directory junction o symbolic link— en la ventana entre la verificación y la escritura, redirige la operación privilegiada a un objetivo arbitrario que el escáner nunca validó.
Microsoft parcheó esta ruta específica, pero la condición arquitectónica subyacente no cambió.
Lo que hace toda esta historia más problemática es la relación entre Microsoft y NightmareEclipse. El investigador dice que intentó reportar vulnerabilidades por el portal de Microsoft, pero que le eliminaron la cuenta y se negaron a continuar el engagement. Microsoft dice que no recibió divulgación coordinada formal.
La respuesta de Microsoft fue publicar un comunicado caracterizando las divulgaciones como “irresponsables” y haciendo una referencia velada a posibles acciones legales a través de su Digital Crimes Unit.
La reacción de la industria fue inmediata y dura. Katie Moussouris, que creó el programa de bug bounty de Microsoft mientras trabajaba en la empresa, dijo que la amenaza legal tendría “un efecto paralizador en otros investigadores”. Dustin Childs de Trend Micro describió la posición de Microsoft como ” audaz” dado que no había liberado correspondencia que respaldara su reclamo.
Microsoft retrocedió el 1 de junio, aclarando que no tenía intención de perseguir investigación legítima. Pero no ha acreditado a NightmareEclipse por ninguna de las vulnerabilidades, un patrón que múltiples investigadores señalaron como una desviación de la práctica estándar.
NightmareEclipse, por su parte, amenazó con una nueva ronda de divulgaciones el 14 de julio, fecha del próximo Patch Tuesday.
La lección para el usuario promedio es simple: actualiza Defender hoy. La lección para la industria es más incómoda. Un antivirus que corre con los máximos privilegios del sistema es, por diseño, el objetivo local más valioso en cualquier PC con Windows.
Parchear instancias individuales sin cambiar la arquitectura es un juego del gato y el ratón que no tiene señal de resolverse pronto.
Fuentes consultadas:
- Ars Technica: Patch for Windows Defender 0-day could allow attackers to fill hard disk
- BleepingComputer: Microsoft patches RoguePlanet Defender zero-day vulnerability
- TechTimes: Defender Zero-Day Patched 29 Days After Public Exploit
- NVD: CVE-2026-50656
- Integrity360: Security Advisory CVE-2026-50656


