C’è una notizia di sicurezza che vale la pena tradurre dal “tecnichese” per chi gestisce un’impresa. Un exploit battezzato RoguePlanet sfrutta una falla in Microsoft Defender — l’antivirus preinstallato su quasi tutti i PC Windows — per ottenere il controllo totale della macchina. E lo fa su Windows 10 e 11 anche completamente aggiornati.
Il codice dimostrativo è stato pubblicato il 9 giugno, poche ore dopo gli aggiornamenti mensili di Microsoft. L’azienda ha confermato di essere al lavoro su una correzione, ma alla data di pubblicazione di questo articolo la falla non è ancora stata chiusa.
Cosa fa, in parole semplici
Defender ha un motore che controlla i file in tempo reale. RoguePlanet sfrutta un difetto in quel meccanismo — tecnicamente una “race condition”, cioè un errore di tempismo tra il momento in cui il sistema verifica una cosa e il momento in cui agisce su quella verifica. Approfittando di quella frazione di secondo, l’attaccante riesce ad aprire un prompt dei comandi con i privilegi massimi del sistema (quelli dell’utente interno chiamato SYSTEM).
Tradotto: chi riesce a usarlo può fare praticamente qualsiasi cosa su quel computer.
RoguePlanet sfrutta una race condition nel motore di scansione di Defender per arrivare ai massimi privilegi su Windows 10 e 11 aggiornati. Microsoft sta preparando la patch.
Fonte: BleepingComputer, The Hacker News — giugno 2026
Perché conta (anche se “serve già essere dentro”)
Un dettaglio importante per non allarmarsi oltre il dovuto: RoguePlanet è una scalata di privilegi locale. Da solo non permette di entrare da remoto in un PC: serve che l’attaccante abbia già un primo appiglio sulla macchina, anche con permessi limitati.
Il problema è che quel primo appiglio è spesso la parte facile: un allegato aperto per sbaglio, una password rubata, un software pirata. Normalmente, da lì, l’aggressore resta “ingabbiato” nei permessi ridotti di quell’utente. Una falla come questa rompe la gabbia e gli consegna l’intera macchina — ed è esattamente il passaggio che trasforma un incidente minore in un attacco ransomware su tutta l’azienda.
La difesa preinstallata che dovrebbe contenere un intruso diventa la scala per arrivare ai piani alti. Finché manca la patch, conta più che mai non lasciare aperto il 'piede nella porta'.
Cosa si può fare nell’attesa della patch
Non c’è ancora la correzione, quindi la mossa giusta è ridurre le occasioni di quel primo accesso e tenere alta l’attenzione:
- Installare gli aggiornamenti appena escono. Quando Microsoft rilascerà la patch per Defender, applicarla subito deve essere la priorità.
- Rafforzare la barriera d’ingresso: attenzione ad allegati ed email sospette, autenticazione a due fattori sugli account, account utente con permessi minimi e nessun software scaricato da fonti non ufficiali.
- Avere un backup recente e scollegato. È la rete di sicurezza che, in caso di compromissione, fa la differenza tra un fastidio e un disastro.
Tre domande da girare all’IT (o all’MSP)
- I nostri PC ricevono in automatico gli aggiornamenti di Windows e Defender?
- Quando uscirà la patch per RoguePlanet, in quanto tempo riusciamo ad applicarla a tutti i computer?
- Abbiamo backup recenti, testati e separati dalla rete, nel caso peggiore?
In breve
RoguePlanet sfrutta una falla di Microsoft Defender per ottenere il controllo totale di Windows 10 e 11 aggiornati, e per ora non esiste ancora una patch. È una scalata di privilegi: pericolosa non perché apra la porta da sola, ma perché trasforma un piccolo accesso in un controllo completo. Per una PMI la mossa giusta non è il panico, ma chiudere le occasioni di primo ingresso, tenere i backup pronti e applicare la correzione di Microsoft appena disponibile.