Nightmare Eclipse опубликовал новую уязвимость нулевого дня в Microsoft Defender

Исследователь в области безопасности Nightmare Eclipse опубликовал свежий эксплойт уязвимости нулевого дня для Microsoft Defender под названием «RoguePlanet» всего через некоторое количество часов после того, как Microsoft исправила два ранее обнаруженных бага во время июньского обновления.

Он утверждает, что новая уязвимость затрагивает полностью обновлённые устройства Windows 10 и Windows 11, позволяя злоумышленникам запускать командную строку с правами SYSTEM через баг состояния гонки в Microsoft Defender. Исследователь поделился демонстрационным эксплойтом в собственном репозитории Git.

«Эксплойт представляет собой состояние гонки, следовательно его использование может быть непредсказуемым. Мне удалось добиться 100 процентов успеха на некоторых машинах, в то время как на других он работал с трудом», — написал Nightmare Eclipse.

По имеющимся данным, уязвимость была протестирована на официальных и Canary-сборках Windows 11, а равным образом на системах Windows 10 с установленными обновлениями безопасности за июнь 2026 года.

В случае успеха будет запущена командная строка Windows с правами SYSTEM.

Компания ThreatLocker, специализирующаяся на кибербезопасности, сообщила BleepingComputer, что успешно воспроизвела уязвимость в процессе тестирования и подтвердила работоспособность эксплойта на полностью обновлённых системах Windows 11 с установленным KB5094126.

«Наш первоначальный анализ подтверждает, что эксплойт RoguePlanet является жизнеспособным и работает так, как описано. Организации, использующие список разрешённых приложений, могут предотвратить выполнение эксплойта, обеспечивая эффективный уровень защиты от этой атаки», — заявил Дэнни Дженкинс, гендиректор ThreatLocker.

По данным Nightmare Eclipse, RoguePlanet изначально был разработан как уязвимость удалённого выполнения кода, которая использовала особенности обработки файлов, размещённых на удалённых SMB-ресурсах, в Microsoft Defender.

«На начальном этапе разработки было подтверждено, что эта уязвимость представляет собой удалённое выполнение кода. Для этого злоумышленнику требовалось заставить жертву открыть файл .vhd(x) на удалённом SMB-сервере; успешная эксплуатация приводила к перезаписи файлов Defender, и, очевидно, конечным результатом было удалённое выполнение кода», — пояснил исследователь в своем блоге. 

Исследователь говорит, что другой скрипт атаки может привести к удалённому выполнению кода, просто заставив жертву открыть общий источник SMB, если включены параметры оценки символических ссылок.

Тем не менее Nightmare Eclipse утверждает, что Microsoft незаметно усилила защиту Defender в середине мая, внеся изменения в программный оболочку «mpengine!SysIO*», что заблокировало атаки с использованием соединений.

«Переписывание RoguePlanet для восстановления его работоспособности истощило мои силы, и я не смог завершить другие сценарии, и пока остаётся неясным, ограничивается ли RoguePlanet только LPE или есть какой-то метод превратить его в RCE», — создал текст исследователь.

За последние несколько месяцев Nightmare Eclipse опубликовал множество уязвимостей нулевого дня для Windows, в том числе BlueHammer, RedSun, GreenPlasma и YellowKey. Некоторые из этих них были нацелены на Microsoft Defender, а другие — на BitLocker и компоненты Windows.

В июне Microsoft исправила уязвимости GreenPlasma и YellowKey в рамках обновлений Patch Tuesday за июнь 2026 года.

Ранее компания отреагировала на эти публикации предупреждениями о том, что будет сотрудничать с правоохранительными органами, если исследователи совершают «злонамеренные действия, причиняющие реальный вред клиентам».

Nightmare Eclipse утверждает, что Microsoft удаляла ранее размещённые им репозитории на GitHub и GitLab.

После публикации новой уязвимости Microsoft сообщила BleepingComputer, что ей известно об обнаруженной уязвимости и проводится расследование. «Компания активно расследует достоверность и потенциальную применимость этих утверждений. Microsoft стремится как можно скорее расследовать проблемы безопасности и обновлять затронутые продукты для защиты клиентов», — заявил представитель корпорации.