### Surge un Nuevo Zero-Day El investigador de seguridad **Nightmare Eclipse** ha lanzado un nuevo exploit zero-day, 'RoguePlanet', dirigido a **Microsoft Defender**. Esta divulgación llega rápidamente después del Patch Tuesday de junio de 2026 de **Microsoft**, que abordó dos fallos reportados previamente por el mismo investigador. ### Capacidades de RoguePlanet El exploit 'RoguePlanet' aprovecha una condición de carrera dentro de **Microsoft Defender** para iniciar un símbolo del sistema con privilegios SYSTEM. **Nightmare Eclipse** afirma que la vulnerabilidad afecta a dispositivos Windows 10 y Windows 11 completamente parcheados. Se compartió un exploit de prueba de concepto (PoC) en un repositorio Git autohospedado, tras presuntas eliminaciones de sus exploits anteriores de **GitHub** y **GitLab** por parte de **Microsoft**. "El exploit es una condición de carrera, por lo que es cuestión de suerte. He logrado una tasa de éxito del 100% en algunas máquinas, mientras que en otras apenas funcionaba", declaró **Nightmare Eclipse** en el repositorio. Según se informa, el fallo ha sido probado con éxito contra compilaciones oficiales y Canary de Windows 11, así como contra sistemas Windows 10 con las últimas actualizaciones de seguridad de junio de 2026 instaladas. ### Verificación Independiente La firma de ciberseguridad **ThreatLocker** ha reproducido independientemente el fallo, confirmando su viabilidad contra sistemas Windows 11 completamente parcheados que ejecutan **KB5094126**. Danny Jenkins, CEO de **ThreatLocker**, señaló: "Nuestro análisis inicial confirma que el exploit RoguePlanet es viable y funciona como se describe. Las organizaciones que utilizan listas blancas de aplicaciones pueden evitar que el exploit se ejecute, proporcionando una capa efectiva de protección contra este ataque". ### Evolución de RCE a LPE Inicialmente, 'RoguePlanet' se desarrolló como una vulnerabilidad de ejecución remota de código (RCE). Explotaba el manejo de archivos de **Microsoft Defender** en recursos compartidos SMB remotos, lo que potencialmente llevaba a **Defender** a sobrescribir sus propios archivos. Otro escenario de RCE implicaba coaccionar a una víctima para que abriera un recurso compartido SMB con ajustes específicos de evaluación de symlink habilitados. Sin embargo, **Nightmare Eclipse** afirma que **Microsoft** reforzó silenciosamente **Defender** a mediados de mayo parcheando la API `mpengine!SysIO*`, lo que bloqueó los ataques de unión (junction attacks). Esto obligó a reescribir 'RoguePlanet', limitando su capacidad demostrada actual a la escalada local de privilegios (LPE). ### Disputa de Divulgación en Curso Este lanzamiento forma parte de una disputa en curso entre **Nightmare Eclipse** y **Microsoft** con respecto a las prácticas de divulgación de vulnerabilidades y recompensas por errores de la empresa. En los últimos meses, el investigador ha divulgado públicamente varios zero-days de Windows, incluyendo **BlueHammer**, **RedSun**, **GreenPlasma** y **YellowKey**, dirigidos a **Microsoft Defender**, **BitLocker** y otros componentes de Windows. **Microsoft** abordó los fallos **GreenPlasma** y **YellowKey** en las actualizaciones del Patch Tuesday de junio de 2026. Anteriormente, **Microsoft** respondió a estas divulgaciones con advertencias sobre trabajar con las fuerzas del orden por "actividad maliciosa que causa daño real a nuestros clientes", lo que fue interpretado por muchos en la comunidad de ciberseguridad como una amenaza contra el investigador. **Nightmare Eclipse** alega que **Microsoft** ha atacado y eliminado repetidamente sus repositorios anteriores de **GitHub** y **GitLab**, lo que les llevó a establecer una plataforma de código autohospedada en projectnightcrawler.dev. **Ghost Protocol** se ha puesto en contacto con **Microsoft** para obtener una declaración sobre este nuevo zero-day y actualizará este informe a medida que haya más información disponible.