Un investigador de seguridad anónimo llamado Chaotic Eclipse (también conocido como Nightmare-Eclipse) ha lanzado otro exploit de prueba de concepto (PoC) de día cero de Microsoft Defender llamado RoguePlanet.
«Este exploit es una condición de carrera, por lo que es impredecible», afirmó el investigador, que publicó el exploit en una nueva cuenta de GitHub, MSNightmare. «Tuvimos una tasa de éxito del 100 % en algunas máquinas, pero no funcionó bien en otras».
Un exploit exitoso crea un shell con privilegios a nivel de SISTEMA que permite al atacante ejecutar código arbitrario o realizar acciones no autorizadas.
Según los investigadores, el exploit se probó en máquinas con Windows 11 y 10 con la actualización del martes de parches de junio de 2026 instalada, lo que significa que el exploit funciona en las últimas versiones del sistema operativo de escritorio.
Sin embargo, este exploit no funciona en instancias de Windows Server en su forma actual porque «los usuarios estándar no pueden montar imágenes ISO». Chaotic Eclipse enfatizó que las instalaciones de Windows Server también son vulnerables a esta falla y necesitarían ser rediseñadas para que el exploit funcione.
«Realmente me agotó el alma hacer que esta PoC funcionara y empeoró significativamente mi salud física y mental, pero a finales de mayo (sic) se desarrolló una PoC completa», dijeron los investigadores.
«Los esfuerzos de Microsoft para proteger a Defender de ataques de redirección de rutas son ineficaces. Defender también tiene varias vulnerabilidades de corrupción de memoria, sin mencionar vulnerabilidades en varios otros componentes».
Crédito del vídeo: ThreatLocker
«Aunque supuestamente no es 100% confiable, funcionó para mí en mi primer intento», dijo el investigador de seguridad Will Dorman en una publicación compartida en Mastodon.
RoguePlanet es el último de una serie de fallas descubiertas por Chaotic Eclipse en los últimos meses.
Estas revelaciones dispares se están evaluando como parte de un esfuerzo por tomar represalias por una supuesta falla en la comunicación entre los investigadores, cuyas identidades no se han hecho públicas, y Microsoft.
En una publicación firmada criptográficamente en su página de Blogger, Chaotic Eclipse expresó su descontento con la forma en que Microsoft manejó el proceso de divulgación y pidió a la compañía que revocara el acceso a su cuenta del Centro de respuesta de seguridad de Microsoft (MSRC), donde los investigadores pueden informar vulnerabilidades. Los investigadores también acusaron a Redmond de humillarlos, desestimar sus informes, no compensar las vulnerabilidades identificadas y difamarlos.
A finales del mes pasado, Microsoft denunció la divulgación de la vulnerabilidad como «de ninguna manera justificable» y exponiendo a los clientes a «riesgos innecesarios». Vale la pena señalar que las tres vulnerabilidades de Defender mencionadas anteriormente han sido explotadas desde entonces.
Esta disputa pública también resultó en la eliminación de cuentas de GitHub y GitLab. «Microsoft está explotando sus amplios vínculos con las fuerzas del orden al explotar su propiedad de GitHub para proteger sólo sus propios productos y etiquetar la publicación de información sobre vulnerabilidades en sus productos como un acto criminal», dijo el investigador de seguridad Kevin Beaumont.
«Para ser claros sobre nuestro enfoque de las cuestiones legales, no pretendemos litigar a personas que realicen o publiquen investigaciones de seguridad», dijo Microsoft en la publicación X. «Cuando las personas participan en conductas maliciosas que violan la ley y causan un daño real a nuestros clientes, trabajaremos con las autoridades según corresponda».
«Estamos comprometidos a abordar cada interacción con transparencia, comunicación clara y profesionalismo. Seguimos creyendo firmemente en la divulgación coordinada de vulnerabilidades como base para proteger a nuestros clientes y mejorar nuestros productos».
Source link
