Основы Интернет - технологий.

Исследователь Nightmare Eclipse (он же Chaotic Eclipse) продолжает публичный конфликт с компанией Microsoft. Спустя несколько часов после выхода июньских патчей он раскрыл еще одну 0-day-уязвимость в Microsoft Defender, которая получила название RoguePlanet. По словам специалиста, уязвимость позволяет получить привилегии уровня SYSTEM и работает даже на полностью обновленных машинах под управлением Windows 10 и Windows 11. Еще в апреле Nightmare Eclipse обещал, что продолжит публиковать эксплоиты для 0-day-уязвимостей после каждого патча, выпущенного инженерами Microsoft, и намерен делать каждую следующую публикацию «еще более веселой». Исследователь держит слово, так как информация о новой проблеме и эксплоит для нее были опубликованы спустя всего несколько часов после релиза июньского «вторника обновлений», в рамках которого специалисты Microsoft исправили сразу несколько уязвимостей, раскрытых Nightmare Eclipse ранее: GreenPlasma, MiniPlasma и YellowKey. Как объясняет специалист в своем блоге, проблема RoguePlanet связана с возникновением состояния гонки в Defender. Эксплоит для уязвимости не отличается стопроцентной надежностью: в одних системах он срабатывает стабильно, но в других потребуется нескольких попыток. В случае успешной атаки злоумышленник получает привилегии SYSTEM и возможность выполнять произвольный код. Независимую проверку бага уже провели аналитики компании ThreatLocker. Они подтвердили, что эксплоит Nightmare Eclipse работает против полностью пропатченных систем на базе Windows 11, и опубликовали демонстрацию атаки. Известный ИБ-эксперт Уилл Дорманн (Will Dormann) также сообщил, что успешно воспроизвел проблему. По словам Nightmare Eclipse, изначально RoguePlanet представляла собой более опасную проблему, способную привести к удаленному выполнению кода. Исходно атака эксплуатировала особенности обработки файлов на удаленных SMB-ресурсах и позволяла заставить Defender перезаписывать собственные файлы. «Для этого злоумышленнику нужно было вынудить жертву открыть файл .vhd(x) на удаленном SMB-сервере. Успешная эксплуатация приводила к перезаписи собственных файлов Defender, и, очевидно, конечным результатом было удаленное выполнение кода», — пишет Nightmare Eclipse. Однако в середине мая инженеры Microsoft незаметно усилили защиту Defender и изменили API mpengine!SysIO*, закрыв один из использовавшихся в атаке механизмов. В итоге исследователю пришлось практически заново переписывать эксплоит, а RoguePlanet стала менее опасной. Он отмечает, что неизвестно, можно ли теперь превратить RoguePlanet из проблемы локального повышения привилегий в полноценную RCE. Раскрытие информации о RoguePlanet и публикация эксплоита стали очередным эпизодом затянувшегося конфликта между Nightmare Eclipse и компанией Microsoft. Напомним, что за последние месяцы исследователь раскрыл информацию и выложил в сеть эксплоиты для шести 0-day-уязвимостей в Windows: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma (CVE-2026-45586) и MiniPlasma (CVE-2020-17103). Некоторые из этих проблем позже начали активно использовать злоумышленники. Nightmare Eclipse утверждает, что делает это в знак протеста против того, как специалисты Microsoft Security Response Center (MSRC) обращаются с ИБ-специалистами. По его словам, в Microsoft угрожали ему и обещали «разрушить его жизнь», а также компания игнорировала его сообщения об уязвимостях, лишила его доступа к учетной записи Microsoft Security Response Center (MSRC) и добилась удаления репозиториев с эксплоитами с GitHub и GitLab. Поэтому теперь исследователь публикует материалы в собственной инфраструктуре. Представители Microsoft резко осудили действия Nightmare Eclipse в частности и практику публикации эксплоитов для неисправленных уязвимостей в целом. В компании заявляли, что публикация эксплоитов для еще неисправленных багов «не может быть оправдана ничем», и отдельно упоминали подразделение Digital Crimes Unit, которое занимается расследованием киберпреступлений и взаимодействует с правоохранительными органами по всему миру. Хотя прямых угроз в адрес исследователя не прозвучало, многие представители ИБ-сообщества восприняли это как намек на возможные юридические меры и завуалированную угрозу в адрес Nightmare Eclipse. После волны критики представители компании были вынуждены смягчить риторику и выступить с новым заявлением, в котором подчеркивалось, что Microsoft не намерена преследовать специалистов, занимающихся исследованиями безопасности. После публикации данных о проблеме RoguePlanet в Microsoft заявили СМИ, что уже изучают информацию о новой уязвимости. «Нам известно о сообщениях об этой уязвимости, и сейчас мы проверяем, насколько эти заявления соответствуют действительности, и могут ли описанные сценарии эксплуатации применяться на практике. Мы продолжаем расследование и при необходимости выпустим обновления для защиты пользователей как можно скорее», — заявили в Microsoft.