Der Sicherheitsforscher, bekannt als **Chaotic Eclipse** (auch **Nightmare-Eclipse**), hat einen neuen Zero-Day-Exploit für **Microsoft Defender** offengelegt, der den Namen **RoguePlanet** trägt. Der PoC-Exploit, veröffentlicht unter einem neuen GitHub-Konto, **MSNightmare**, ist eine Race Condition, die einem Angreifer im Erfolgsfall SYSTEM-Privilegien verschafft. "Der Exploit ist eine Race Condition, daher ist es ein Treffer oder Niete", erklärte der Forscher. "Ich konnte auf einigen Maschinen eine Erfolgsquote von 100 % erzielen, während er auf anderen nur schwer funktionierte." ### Auswirkungen und Umfang Die erfolgreiche Ausnutzung von **RoguePlanet** führt zu einer Shell mit SYSTEM-Privilegien, was beliebige Codeausführung und unbefugte Aktionen ermöglicht. Der Exploit wurde auf **Windows 11** und **Windows 10**-Systemen mit den Patch-Tuesday-Updates vom Juni 2026 validiert, was seine Wirksamkeit gegen vollständig gepatchte Systeme zeigt. Obwohl der aktuelle PoC auf **Windows Server**-Instanzen aufgrund der Abhängigkeit von der Einbindung von ISO-Images durch Standardbenutzer nicht funktioniert, betonte **Chaotic Eclipse**, dass **Windows Server** weiterhin anfällig für die zugrunde liegende Schwachstelle ist und ein überarbeiteter Exploit diese ins Visier nehmen könnte. ### Frustration des Forschers und frühere Offenlegungen **Chaotic Eclipse** äußerte die erheblichen persönlichen Belastungen während der Entwicklung dieses PoC und sagte: "Diesen PoC zum Laufen zu bringen, hat meine Seele wirklich ausgelaugt, meine geistige und körperliche Gesundheit stark beeinträchtigt, aber Ende Mai wurde ein vollständiger PoC entwickelt." Der Forscher kritisierte auch die Bemühungen von **Microsoft**, **Defender** gegen Path-Redirection-Angriffe abzusichern, und behauptete, zusätzliche Speicherbeschädigungsschwachstellen in **Defender** und anderen **Microsoft**-Komponenten zu besitzen. Der Sicherheitsforscher **Will Dormann** bestätigte die Funktionalität des Exploits und bemerkte auf **Mastodon**, dass er "beim ersten Versuch für mich funktionierte", trotz Berichten über Inkonsistenzen. **RoguePlanet** ist die neueste in einer Reihe von **Microsoft Defender**-Schwachstellen, die von **Chaotic Eclipse** offengelegt wurden, darunter: * **BlueHammer** (**CVE-2026-33825**) * **UnDefend** (**CVE-2026-45498**) * **RedSun** (**CVE-2026-41091**) ### Unkoordinierte Offenlegungen und öffentliche Fehde Diese öffentlichen Offenlegungen sind Berichten zufolge die Folge eines Kommunikationszusammenbruchs zwischen **Chaotic Eclipse** und **Microsoft**. Der anonyme Forscher hat seine Unzufriedenheit mit dem Umgang **Microsofts** mit dem Offenlegungsprozess geäußert und die Sperrung des Zugangs zu seinem **Microsoft Security Response Center (MSRC)**-Konto, die Ablehnung von Berichten, fehlende Entschädigung und Verleumdung behauptet. **Microsoft** hat diese unkoordinierten Offenlegungen öffentlich verurteilt und erklärt, sie seien "niemals zu rechtfertigen" und würden Kunden unnötig gefährden. Bemerkenswerterweise wurden alle drei zuvor genannten **Defender**-Schwachstellen inzwischen in freier Wildbahn ausgenutzt. Der anhaltende Streit führte auch zur Sperrung der **GitHub**- und **GitLab**-Konten von **Chaotic Eclipse**. Der Sicherheitsforscher **Kevin Beaumont** kommentierte die Situation: "Microsoft versucht, seine GitHub-Eigentümerschaft zu missbrauchen, um nur seine eigenen Produkte zu schützen, und seine umfangreichen Verbindungen zur Strafverfolgung zu missbrauchen, indem es die Veröffentlichung von Informationen über Schwachstellen in seinen eigenen Produkten als kriminelles Verhalten brandmarkt." **Microsoft** antwortete über einen X-Post und klärte seine rechtliche Haltung: "Um klarzustellen, was unseren Ansatz in rechtlichen Angelegenheiten betrifft, haben wir nicht die Absicht, gegen Personen vorzugehen, die ihre Sicherheitsforschung durchführen oder veröffentlichen. Wenn eine Person gegen das Gesetz verstößt und bösartige Aktivitäten unternimmt, die unseren Kunden echten Schaden zufügen, werden wir gegebenenfalls mit den Strafverfolgungsbehörden zusammenarbeiten." Sie bekräftigten ihr Engagement für Transparenz und **Coordinated Vulnerability Disclosure (CVD)**, die sie als wesentlich für den Kundenschutz und die Produktverbesserung ansehen. ### Offizielle Erklärung von Microsoft Als Reaktion auf Anfragen gab ein **Microsoft**-Sprecher die folgende Erklärung ab: "Microsoft ist sich der gemeldeten Schwachstelle bewusst und untersucht derzeit die Gültigkeit und potenzielle Anwendbarkeit dieser Behauptungen. Microsoft verpflichtet sich, Sicherheitsprobleme zu untersuchen und betroffene Produkte zu aktualisieren, um Kunden so schnell wie möglich zu schützen. Wichtig ist, dass wir die koordinierte Offenlegung von Schwachstellen unterstützen, einen Industriestandard, der Kunden schützt und die Forschungsgemeinschaft unterstützt, indem er sicherstellt, dass ihre Erkenntnisse gründlich untersucht und behoben werden, bevor sie öffentlich gemacht werden." Die Situation unterstreicht die komplexen Herausforderungen und Spannungen, die zwischen Sicherheitsforschern und großen Softwareanbietern im kritischen Prozess der Offenlegung von Schwachstellen entstehen können.