### Neuer Zero-Day taucht auf Der Sicherheitsforscher **Nightmare Eclipse** hat einen neuen Zero-Day-Exploit namens 'RoguePlanet' veröffentlicht, der auf **Microsoft Defender** abzielt. Diese Enthüllung folgt unmittelbar auf den Patch Tuesday von **Microsoft** im Juni 2026, der zwei zuvor von demselben Forscher gemeldete Schwachstellen behoben hat. ### Fähigkeiten von RoguePlanet Der 'RoguePlanet'-Exploit nutzt eine Race Condition in **Microsoft Defender** aus, um eine Eingabeaufforderung mit SYSTEM-Privilegien zu starten. **Nightmare Eclipse** behauptet, dass die Schwachstelle vollständig gepatchte Windows 10- und Windows 11-Geräte betrifft. Ein Proof-of-Concept (PoC)-Exploit wurde auf einem selbst gehosteten Git-Repository geteilt, nachdem angeblich frühere Exploits von **GitHub** und **GitLab** durch **Microsoft** entfernt wurden. "Der Exploit ist eine Race Condition, daher ist er ein Treffer oder ein Fehlschlag. Ich habe es geschafft, auf einigen Maschinen eine Erfolgsquote von 100 % zu erzielen, während er auf anderen nur schwer funktionierte", erklärte **Nightmare Eclipse** im Repository. Die Schwachstelle wurde Berichten zufolge erfolgreich gegen Windows 11 Official und Canary Builds sowie gegen Windows 10-Systeme mit den neuesten Sicherheitsupdates vom Juni 2026 getestet. ### Unabhängige Verifizierung Das Cybersicherheitsunternehmen **ThreatLocker** hat die Schwachstelle unabhängig reproduziert und ihre Wirksamkeit gegen vollständig gepatchte Windows 11-Systeme mit **KB5094126** bestätigt. Danny Jenkins, CEO von **ThreatLocker**, bemerkte: "Unsere erste Analyse bestätigt, dass der RoguePlanet-Exploit wirksam ist und wie beschrieben funktioniert. Organisationen, die Application Allowlisting verwenden, können die Ausführung des Exploits verhindern und so eine effektive Schutzschicht gegen diesen Angriff bieten." ### Entwicklung von RCE zu LPE Ursprünglich wurde 'RoguePlanet' als Remote Code Execution (RCE)-Schwachstelle entwickelt. Sie nutzte die Handhabung von Dateien auf Remote-SMB-Freigaben durch **Microsoft Defender** aus, was potenziell dazu führen konnte, dass **Defender** seine eigenen Dateien überschrieb. Ein weiteres RCE-Szenario beinhaltete das Zwingen eines Opfers, eine SMB-Freigabe mit aktivierten spezifischen Symlink-Auswertungseinstellungen zu öffnen. **Nightmare Eclipse** behauptet jedoch, dass **Microsoft** **Defender** Mitte Mai stillschweigend gehärtet hat, indem die `mpengine!SysIO*`-API gepatcht wurde, was Junction-Angriffe blockierte. Dies zwang zu einer Neufassung von 'RoguePlanet', wodurch die aktuell demonstrierte Fähigkeit auf lokale Privilegieneskalation (LPE) beschränkt wurde. ### Laufender Offenlegungsstreit Diese Veröffentlichung ist Teil eines laufenden Streits zwischen **Nightmare Eclipse** und **Microsoft** bezüglich der Schwachstellenoffenlegung und der Bug-Bounty-Praktiken des Unternehmens. In den letzten Monaten hat der Forscher mehrere Windows-Zero-Days öffentlich gemacht, darunter **BlueHammer**, **RedSun**, **GreenPlasma** und **YellowKey**, die auf **Microsoft Defender**, **BitLocker** und andere Windows-Komponenten abzielen. **Microsoft** hat die **GreenPlasma**- und **YellowKey**-Schwachstellen in den Patch-Tuesday-Updates vom Juni 2026 behoben. Zuvor reagierte **Microsoft** auf diese Enthüllungen mit Warnungen vor der Zusammenarbeit mit Strafverfolgungsbehörden wegen "böswilliger Aktivitäten, die unseren Kunden echten Schaden zufügen", was von vielen in der Cybersicherheits-Community als Drohung gegen den Forscher interpretiert wurde. **Nightmare Eclipse** behauptet, dass **Microsoft** wiederholt ihre früheren Repositories von **GitHub** und **GitLab** ins Visier genommen und entfernt hat, was sie dazu veranlasste, eine selbst gehostete Code-Plattform unter projectnightcrawler.dev einzurichten. **Ghost Protocol** hat sich an **Microsoft** gewandt, um eine Stellungnahme zu diesem neuen Zero-Day zu erhalten, und wird diesen Bericht aktualisieren, sobald weitere Informationen verfügbar sind.