Пријави инцидент
Пријави инцидент

Microsoft Defender „RoguePlanet“ zero-day овозможува добивање SYSTEM привилегии

Објавено: 10.06.2026

Безбедносен истражувач објави нов zero-day код за Microsoft Defender наречен RoguePlanet, само неколку часа откако Microsoft ги поправи две претходно објавени ранливости за време на јунското ажурирање „Patch Tuesday“ за 2026 година.

Истражувачот, познат под псевдонимот Nightmare Eclipse, тврди дека новата ранливост влијае на целосно ажурирани системи со Windows 10 и Windows 11, овозможувајќи им на напаѓачите да стартуваат Command Prompt со SYSTEM привилегии преку ранливост од типот race condition во Microsoft Defender.

Во вторникот попладне истражувачот објави доказ за концепт (PoC) експлоит во сопствено хостирано Git складиште, наведувајќи дека претходните складишта на GitHub и GitLab каде што биле објавени неговите експлоити биле отстранети од Microsoft.

„Кодот се базира на race condition, па затоа понекогаш успева, а понекогаш не. На некои системи постигнав 100% успешност, додека на други имаше потешкотии да функционира“, напиша Nightmare Eclipse.

Според него, ранливоста била тестирана на официјалните и Canary верзиите на Windows 11, како и на Windows 10 системи со инсталирани безбедносни ажурирања од јуни 2026 година.

Кога нападот е успешен, се отвора Windows Command Prompt со SYSTEM привилегии – највисокото ниво на пристап во оперативниот систем.

Компанијата за сајбер-безбедност ThreatLocker потврди дека успеала да ја репродуцира ранливоста во своите тестови и дека кодот функционира на целосно ажурирани Windows 11 системи со инсталирана надградба KB5094126.

Извршниот директор на компанијата, Danny Jenkins, изјави:

„Нашата првична анализа потврдува дека кодот RoguePlanet е изводлив и функционира како што е опишано. Организациите што користат дозволени листи за апликации (application allowlisting) можат да спречат негово извршување, обезбедувајќи дополнителен слој на заштита.“

Првично бил развиен како RCE ранливост

Според Nightmare Eclipse, RoguePlanet првично бил развиен како ранливост за далечинско извршување на код (RCE) преку начинот на кој Microsoft Defender обработува датотеки сместени на оддалечени SMB споделувања.

Во блог-објава истражувачот објаснува:

„Во почетната фаза на развој беше потврдено дека оваа ранливост овозможува далечинско извршување на код.“

Нападот барал напаѓачот да го наведе корисникот да отвори .vhd или .vhdx датотека на оддалечен SMB сервер. При успешна експлоатација, Defender ги препишувал сопствените датотеки, што резултирало со RCE.

Истражувачот додава дека постоело и друго сценарио во кое било доволно жртвата да отвори SMB споделување доколку биле овозможени поставките за евалуација на симболички врски (symlink evaluation).

Microsoft тивко ја зајакнал заштитата

Nightmare Eclipse тврди дека Microsoft во средината на мај без многу публицитет го зајакнал Defender преку измена на API функциите „mpengine!SysIO*“, со што биле блокирани таканаречените junction напади.

„Препишувањето на RoguePlanet за повторно да функционира ми одзеде огромен напор и не успеав да ги завршам останатите сценарија. Засега останува нејасно дали RoguePlanet е ограничен само на локална ескалација на привилегии или постои начин повторно да се претвори во RCE.“

Спор помеѓу истражувачот и Microsoft

Објавувањето на RoguePlanet е дел од тековниот спор меѓу Nightmare Eclipse и Microsoft околу начинот на кој компанијата ги обработува пријавите за ранливости и својата bug bounty програма.

Во последните неколку месеци истражувачот јавно објави повеќе Windows zero-day ранливости, меѓу кои:

  • BlueHammer
  • RedSun
  • GreenPlasma
  • YellowKey

Некои од нив беа насочени кон Microsoft Defender, а други кон BitLocker и различни компоненти на Windows.

Microsoft ги поправи GreenPlasma и YellowKey во рамки на безбедносните ажурирања од јуни 2026 година.

Претходно Microsoft соопшти дека ќе соработува со органите на прогонот кога лица се впуштаат во „злонамерни активности што предизвикуваат реална штета на клиентите“, што кај дел од заедницата за сајбер-безбедност беше сфатено како индиректна закана кон истражувачот.

Nightmare Eclipse, пак, тврди дека Microsoft повеќепати ги таргетирал и отстранувал неговите складишта на GitHub и GitLab, поради што создал сопствена платформа за објавување код на ProjectNightcrawler.

Во меѓувреме, медиумот BleepingComputer соопшти дека побарал официјален коментар од Microsoft за новата zero-day ранливост и ќе ја ажурира веста доколку добие одговор од компанијата.

Извори:

  • Bleeping Computer – Microsoft Defender ‘RoguePlanet’ zero-day grants SYSTEM privileges Bleeping Computer