RoguePlanet: (otra) vulnerabilidad Zero-Day de Microsoft Defender

El investigador de seguridad anónimo conocido como Chaotic Eclipse (también conocido como Nightmare-Eclipse) ha publicado una prueba de concepto (PoC) de un exploit para otra vulnerabilidad de día cero de Microsoft Defender llamada RoguePlanet.

"El exploit es una condición de carrera, por lo que su efectividad es variable", declaró el investigador, quien publicó el exploit bajo una nueva cuenta de GitHub llamada "MSNightmare". "He logrado un 100% de éxito en algunas máquinas, mientras que en otras ha tenido dificultades para funcionar".

Si el exploit tiene éxito, se obtiene una shell con privilegios de nivel SYSTEM, lo que permite al atacante ejecutar código arbitrario o realizar acciones no autorizadas. El investigador afirmó que el exploit se ha probado en máquinas con Windows 11 y 10 con las actualizaciones de Patch Tuesday de junio de 2026 instaladas, lo que significa que funciona en las versiones más recientes del sistema operativo de escritorio.

Sin embargo, el exploit no funciona en instancias de Windows Server en su forma actual, ya que "los usuarios estándar no pueden montar una imagen ISO". Chaotic Eclipse destacó que las instalaciones de Windows Server también son vulnerables a la falla y que el exploit necesita ser rediseñado para que funcione. "Lograr que esta prueba de concepto funcionara me agotó por completo; afectó gravemente mi salud mental y física, pero a finales de mayo [sic] se desarrolló una prueba de concepto completa", dijo el investigador.

"Los esfuerzos de Microsoft para proteger a Defender de los ataques de redirección de ruta son inútiles. También tengo varias vulnerabilidades de corrupción de memoria en Defender, sin mencionar otras vulnerabilidades que tengo en varios componentes".

El investigador de seguridad Will Dormann, en una publicación compartida en Mastodon, dijo: "Según se informa, no es 100% confiable, pero me funcionó al primer intento". RoguePlanet es la última de una serie de vulnerabilidades descubiertas por Chaotic Eclipse en los últimos meses.

Estas divulgaciones descoordinadas forman parte de lo que se considera una represalia tras una supuesta falta de comunicación entre el investigador, que no se ha identificado públicamente, y Microsoft.

En publicaciones firmadas criptográficamente en su blog, Chaotic Eclipse expresó su descontento con la forma en que Microsoft gestionó el proceso de divulgación y criticó a la compañía por revocar el acceso a su cuenta del Centro de Respuesta de Seguridad de Microsoft (MSRC), donde los investigadores pueden reportar vulnerabilidades. El investigador también acusó a Microsoft de humillarlo, desestimar sus informes, no compensarlo por las vulnerabilidades identificadas y difamarlo.

A finales del mes pasado, Microsoft condenó las divulgaciones públicas de vulnerabilidades, afirmando que "nunca se justifican" y que exponen a los clientes a un "riesgo innecesario". Cabe destacar que las tres vulnerabilidades de Defender mencionadas anteriormente ya han sido explotadas.

La disputa pública también ha provocado el cierre de sus cuentas de GitHub y GitLab. "Microsoft está intentando abusar de su propiedad de GitHub para proteger únicamente sus propios productos, y de sus amplios vínculos con las fuerzas del orden, calificando la publicación de información sobre vulnerabilidades en sus propios productos como un comportamiento delictivo", declaró el investigador de seguridad Kevin Beaumont.

"Para que quede claro nuestro enfoque en materia legal, no tenemos intención de emprender acciones legales contra las personas que realizan o publican investigaciones sobre seguridad", afirmó Microsoft en una publicación de X. "Cuando una persona infringe la ley y participa en actividades maliciosas que causan un daño real a nuestros clientes, colaboraremos con las fuerzas del orden según corresponda".

Fuente: THN

Suscríbete a nuestro Boletín