Исследователь безопасности обнаружил уязвимость «RoguePlanet» в Microsoft Defender, позволяющую повысить привилегии в системе. Microsoft заявила, что осведомлена о проблеме и проводит расследование.
Исследователь безопасности под псевдонимом Nightmare Eclipse сообщил об уязвимости нулевого дня в Microsoft Defender, названной «RoguePlanet». Уязвимость затрагивает обновленные системы Windows 10 и Windows 11 и позволяет злоумышленникам получить права системного администратора (SYSTEM privileges).
«RoguePlanet» представляет собой состояние гонки (race condition) в механизмах защиты Defender. Эксплойт работает нестабильно, но исследователю удалось добиться 100% успеха на некоторых машинах. Успешная эксплуатация приводит к появлению командной строки с правами SYSTEM.
Уязвимость была протестирована на официальных и предварительных сборках Windows 11, а также на системах Windows 10 с обновлениями безопасности за июнь 2026 года. Специалисты ThreatLocker подтвердили работоспособность эксплойта на полностью обновленных системах Windows 11.
Изначально «RoguePlanet» была уязвимостью удаленного выполнения кода (RCE). Для ее эксплуатации требовалось, чтобы жертва открыла файл .vhd(x) на удаленном SMB-сервере. Microsoft в середине мая внесла изменения в механизм защиты Defender, которые, по словам исследователя, ограничили функционал уязвимости до повышения локальных привилегий (LPE).
Публикация информации об уязвимости происходит на фоне спора между Nightmare Eclipse и Microsoft относительно практики раскрытия уязвимостей и программы вознаграждений за ошибки.
Microsoft заявила, что осведомлена о сообщениях об уязвимости и проводит расследование. Компания подчеркнула приверженность скоординированному раскрытию уязвимостей.
