De anonieme beveiligingsonderzoeker met de naam Chaotic Eclipse (ook bekend als Nightmare-Eclipse) heeft een proof-of-concept (PoC) exploit uitgebracht voor weer een Microsoft Defender zero-day genaamd RoguePlanet.
“De exploit is een race condition, dus het kan een schot in de roos zijn”, aldus de onderzoeker, die de exploit publiceerde onder een nieuw GitHub-account, “MSNightmare”. “Ik ben erin geslaagd om op sommige machines een succespercentage van 100% te behalen, terwijl ik op andere machines moeite had om te werken.”
Mocht de exploit slagen, dan is het resultaat een shell met privileges op SYSTEEM-niveau, waardoor de aanvaller de mogelijkheid krijgt om willekeurige code uit te voeren of ongeautoriseerde acties uit te voeren.
De onderzoeker zei dat de exploit is getest op Windows 11- en 10-machines waarop de Patch Tuesday-updates van juni 2026 zijn geïnstalleerd, wat betekent dat de exploit werkt op de up-to-date versies van het desktopbesturingssysteem.
Dat gezegd hebbende, werkt de exploit niet op Windows Server-instances in zijn huidige vorm, omdat “standaardgebruikers geen ISO-image kunnen mounten.” Chaotic Eclipse benadrukte dat Windows Server-installaties ook kwetsbaar zijn voor de fout en dat de exploit opnieuw moet worden ontworpen om te kunnen werken.
“Het aan de praat krijgen van deze PoC heeft mijn ziel echt leeggezogen, het heeft mijn mentale en fysieke gezondheid ernstig aangetast, maar eind mei (sic) werd een volledige PoC ontwikkeld”, aldus de onderzoeker.
“De pogingen van Microsoft om Defender te beschermen tegen aanvallen met padomleiding zijn nutteloos. Ik heb ook een reeks kwetsbaarheden voor geheugencorruptie in Defender en niet te vergeten de andere reeks kwetsbaarheden die ik in verschillende andere componenten heb.”
Videocredit: ThreatLocker
Beveiligingsonderzoeker Will Dormann zei in een bericht gedeeld op Mastodon: “Het is naar verluidt niet 100% betrouwbaar, maar het werkte bij de eerste poging voor mij.”
RoguePlanet is de laatste in een reeks tekortkomingen die Chaotic Eclipse de afgelopen maanden heeft ontdekt –
Deze ongecoördineerde onthullingen maken deel uit van wat wordt beschouwd als een vergeldingsactie na een vermeende storing in de communicatie tussen de onderzoeker, die zichzelf niet publiekelijk heeft geïdentificeerd, en Microsoft.
In cryptografisch ondertekende berichten op hun Blogger-pagina uitte Chaotic Eclipse zijn ontevredenheid over de manier waarop Microsoft het openbaarmakingsproces afhandelde en riep het bedrijf op om de toegang tot hun Microsoft Security Response Center (MSRC)-account in te trekken, waar onderzoekers kwetsbaarheden kunnen melden. De onderzoeker heeft Redmond er ook van beschuldigd hen te hebben vernederd, hun rapporten van de hand te hebben gewezen, hen niet te hebben gecompenseerd voor de geïdentificeerde kwetsbaarheden en hen te belasteren.
Eind vorige maand veroordeelde Microsoft de openbare onthullingen over kwetsbaarheden en stelde dat deze “nooit te rechtvaardigen” zijn en klanten aan “onnodige risico’s” blootstellen. Het is vermeldenswaard dat alle drie bovengenoemde kwetsbaarheden in de Defender sindsdien in het wild zijn uitgebuit.
De publieke vete heeft ook geresulteerd in de verwijdering van hun GitHub- en GitLab-accounts. “Microsoft probeert zijn eigendom van GitHub te misbruiken om alleen zijn eigen producten te beschermen, en zijn uitgebreide banden met wetshandhaving te misbruiken door het publiceren van informatie over kwetsbaarheden in zijn eigen producten als crimineel gedrag te bestempelen”, aldus beveiligingsonderzoeker Kevin Beaumont.
“Om duidelijk te zijn over onze benadering van juridische zaken: we zijn niet van plan actie te ondernemen tegen personen die hun beveiligingsonderzoek uitvoeren of publiceren”, aldus Microsoft in een X-post. “Wanneer een persoon de wet overtreedt en zich bezighoudt met kwaadwillige activiteiten die onze klanten echte schade berokkenen, zullen we waar nodig samenwerken met de wetshandhaving.”
“We doen er alles aan om elke interactie met transparantie, duidelijke communicatie en professionaliteit te benaderen. We blijven sterk geloven in Coulated Vulnerability Disclosure als basis voor het beschermen van klanten en het verbeteren van onze producten.”
