Уязвимость RoguePlanet в Microsoft Defender позволяет получить привилегии SYSTEM на полностью обновлённых Windows 10 и Windows 11

Эксперт по кибербезопасности опубликовал новый эксплойт нулевого дня для Microsoft Defender под названием RoguePlanet — всего через несколько часов после того, как Microsoft исправила две ранее раскрытые уязвимости в рамках июньского «Вторника Патчей» (Patch Tuesday) 2026 года.

Исследователь, известный как Nightmare Eclipse (или Chaotic Eclipse), утверждает, что новая уязвимость затрагивает полностью обновленные устройства с Windows 10 и Windows 11. Она позволяет злоумышленникам запускать командную строку с привилегиями SYSTEM через уязвимость состояния гонки в Microsoft Defender.

Nightmare Eclipse опубликовал эксплойт «доказательства концепции» в собственном Git-репозитории после того, как, по его словам, Microsoft ранее добилась удаления репозиториев с его эксплойтами на GitHub и GitLab.

Автор эксплойта написал:

Эксплойт использует состояние гонки, поэтому результат может быть нестабильным. На некоторых машинах мне удавалось добиться 100% успешного срабатывания, тогда как на других он работал с трудом.

Сообщается, что уязвимость была протестирована на официальных и Canary-сборках Windows 11, а также на системах Windows 10 с установленными июньскими обновлениями безопасности 2026 года.

При успешной эксплуатации в Windows запускается командная строка с привилегиями SYSTEM.

Компании ThreatLocker удалось воспроизвести уязвимость в ходе тестирования. Компания подтвердила, что эксплойт работает на полностью обновленных системах Windows 11 с установленным обновлением KB5094126, и поделилась видео с демонстрацией.

Дэнни Дженкинс (Danny Jenkins), генеральный директор ThreatLocker, заявил:

Наш первоначальный анализ подтверждает, что эксплойт RoguePlanet работоспособен и действует так, как описано. Организации, использующие allowlisting приложений, могут предотвратить выполнение эксплойта, что обеспечивает эффективный дополнительный уровень защиты от этой атаки.

По словам Nightmare Eclipse, изначально RoguePlanet разрабатывался как уязвимость удаленного выполнения кода, которая эксплуатировала обработку Microsoft Defender файлов, размещенных на удаленных SMB-ресурсах.

Эксперт по кибербезопасности пояснил:

На начальном этапе разработки было подтверждено, что эта уязвимость позволяла удаленное выполнение кода.

Для эксплуатации злоумышленнику нужно было вынудить жертву открыть файл .vhd(x) на удаленном SMB-сервере. При успешной эксплуатации Defender перезаписывал собственные файлы, а итоговым результатом, очевидно, было удаленное выполнение кода.

Исследователь также утверждает, что другой сценарий атаки мог привести к удаленному выполнению кода, если вынудить жертву открыть SMB-ресурс при включенных настройках обработки символических ссылок. Однако, по словам исследователя, Microsoft в середине мая незаметно усилила защиту Defender, исправив API mpengine!SysIO*, что заблокировало атаки с использованием junction.

Автор эксплойта добавил:

Переписывание RoguePlanet, чтобы он снова стал рабочим, отняло много сил, и я не смог завершить остальные сценарии. Пока остается неясным, ограничивается ли RoguePlanet локальным повышением привилегий или существует способ превратить его в RCE.

Публикация эксплойта является частью продолжающегося спора между Nightmare Eclipse и Microsoft по поводу практик раскрытия уязвимостей и программы bug bounty компании.

За последние несколько месяцев исследователь публично раскрыл несколько уязвимостей нулевого дня в Windows, включая BlueHammer, RedSun, GreenPlasma и YellowKey. Некоторые из них затрагивали Microsoft Defender, другие — BitLocker и компоненты Windows.

Microsoft исправила уязвимости GreenPlasma и YellowKey в рамках июньских обновлений «Вторника Патчей».

Ранее Microsoft отреагировала на раскрытие уязвимостей предупреждением о том, что будет сотрудничать с правоохранительными органами, если люди занимаются «вредоносной деятельностью, причиняющей реальный ущерб нашим клиентам». После этого многие представители сообщества кибербезопасности сочли, что Microsoft угрожает исследователю.