Een beveiligingsonderzoeker heeft een nieuwe zero-day exploit voor Microsoft Defender uitgebracht. De exploit heet RoguePlanet en werkt op volledig bijgewerkte Windows 10- en 11-systemen. Via een race condition in Defender krijgen aanvallers volledige systeemtoegang. Ze kunnen een opdrachtprompt openen met de hoogste SYSTEM-rechten. De onderzoeker, genaamd Nightmare Eclipse, meldde op sommige machines een succespercentage van 100 procent.
Nightmare Eclipse publiceerde de exploit op een zelfgehoste Git-repository, nadat Microsoft zijn repositories op GitHub en GitLab verwijderde. Onafhankelijk cybersecuritybedrijf ThreatLocker bevestigde dat de exploit werkt op volledig bijgewerkte Windows 11-systemen. Het bedrijf deelde een demonstratievideo als bewijs. CEO Danny Jenkins legt uit dat organisaties met application allowlisting de aanval kunnen blokkeren. Dat biedt een effectieve beschermingslaag tegen deze dreiging.
De onderzoeker ontwikkelde RoguePlanet eerst als een kwetsbaarheid voor externe code-uitvoering (RCE). De aanval vereiste dat een slachtoffer een VHD-bestand opende op een externe SMB-server. Defender overschreef daarna zijn eigen bestanden, wat uitvoering van externe code mogelijk maakte. Microsoft paste Defender stil aan in mei 2025 door een specifieke API te patchen. Dit blokkeerde de aanval en dwong Nightmare Eclipse de exploit volledig te herschrijven. Nu werkt RoguePlanet als Local Privilege Escalation. Of het ook als volwaardige RCE te misbruiken is, blijft onduidelijk.
De release valt samen met de grootste Patch Tuesday ooit van Microsoft. Het bedrijf repareerde twee eerder gemelde kwetsbaarheden, maar RoguePlanet staat niet op de patchlijst. Windows-gebruikers lopen dus nog steeds risico, en Microsoft heeft nog geen tijdlijn voor een oplossing gegeven.
