El investigador de seguridad, conocido como **Chaotic Eclipse** (también **Nightmare-Eclipse**), ha revelado un nuevo exploit de día cero para **Microsoft Defender**, denominado **RoguePlanet**. El exploit PoC, publicado bajo una nueva cuenta de GitHub, **MSNightmare**, es una condición de carrera que, de tener éxito, proporciona a un atacante privilegios a nivel SYSTEM. "El exploit es una condición de carrera, por lo que es cuestión de suerte", declaró el investigador. "He logrado una tasa de éxito del 100% en algunas máquinas, mientras que en otras apenas funcionó." ### Impacto y Alcance La explotación exitosa de **RoguePlanet** resulta en un shell con privilegios a nivel SYSTEM, lo que permite la ejecución de código arbitrario y acciones no autorizadas. El exploit ha sido validado en máquinas **Windows 11** y **Windows 10** que ejecutan las actualizaciones del Patch Tuesday de junio de 2026, lo que indica su efectividad contra sistemas completamente parcheados. Si bien el PoC actual no funciona en instancias de **Windows Server** debido a la dependencia del montaje de imágenes ISO por parte de usuarios estándar, **Chaotic Eclipse** enfatizó que **Windows Server** sigue siendo vulnerable a la falla subyacente y que un exploit rediseñado podría apuntar a él. ### Frustración del Investigador y Divulgaciones Previas **Chaotic Eclipse** expresó el gran peaje personal que supuso el desarrollo de este PoC, afirmando: "Lograr que este PoC funcionara realmente me agotó el alma, degradó severamente mi salud mental y física, pero a finales de mayo se desarrolló un PoC completo." El investigador también criticó los esfuerzos de **Microsoft** para proteger **Defender** contra ataques de redirección de ruta, afirmando poseer vulnerabilidades adicionales de corrupción de memoria dentro de **Defender** y otros componentes de **Microsoft**. El investigador de seguridad **Will Dormann** corroboró la funcionalidad del exploit, señalando en **Mastodon** que "funcionó al primer intento para mí", a pesar de los informes de inconsistencia. **RoguePlanet** es el último de una serie de vulnerabilidades de **Microsoft Defender** divulgadas por **Chaotic Eclipse**, que incluyen: * **BlueHammer** (**CVE-2026-33825**) * **UnDefend** (**CVE-2026-45498**) * **RedSun** (**CVE-2026-41091**) ### Divulgaciones No Coordinadas y Disputa Pública Estas divulgaciones públicas son, según se informa, una consecuencia de una ruptura en la comunicación entre **Chaotic Eclipse** y **Microsoft**. El investigador, que permanece en el anonimato, ha expresado su insatisfacción con el manejo del proceso de divulgación por parte de **Microsoft**, alegando la revocación del acceso a su cuenta del **Microsoft Security Response Center (MSRC)**, el descarte de informes, la falta de compensación y la difamación. **Microsoft** ha condenado públicamente estas divulgaciones no coordinadas, afirmando que "nunca son justificables" y que ponen en peligro innecesariamente a los clientes. Cabe destacar que las tres vulnerabilidades de **Defender** mencionadas anteriormente ya han sido explotadas en la naturaleza. La disputa en curso también ha llevado a la eliminación de las cuentas de **Chaotic Eclipse** en **GitHub** y **GitLab**. El investigador de seguridad **Kevin Beaumont** comentó la situación, afirmando: "Microsoft está intentando hacer un mal uso de su propiedad de GitHub para proteger solo sus propios productos, y hacer un mal uso de sus extensos vínculos con las fuerzas del orden al calificar la publicación de información sobre vulnerabilidades en sus propios productos como comportamiento criminal." **Microsoft** respondió a través de una publicación en X, aclarando su postura legal: "Para ser claros sobre nuestro enfoque en asuntos legales, no tenemos intención de emprender acciones contra personas que realicen o publiquen su investigación de seguridad. Cuando una persona infringe la ley y participa en actividades maliciosas que causan daño real a nuestros clientes, trabajaremos con las fuerzas del orden según corresponda." Reiteraron su compromiso con la transparencia y la **Divulgación Coordinada de Vulnerabilidades (CVD)**, que consideran esencial para la protección del cliente y la mejora del producto. ### Declaración Oficial de Microsoft En respuesta a las consultas, un portavoz de **Microsoft** proporcionó la siguiente declaración: "Microsoft está al tanto de la vulnerabilidad reportada y está investigando activamente la validez y la aplicabilidad potencial de estas afirmaciones. Microsoft se compromete a investigar problemas de seguridad y actualizar los productos afectados para proteger a los clientes lo antes posible. Es importante destacar que apoyamos la divulgación coordinada de vulnerabilidades, un estándar de la industria que protege a los clientes y apoya a la comunidad de investigación al garantizar que sus hallazgos sean investigados y abordados a fondo antes de ser hechos públicos." La situación subraya los complejos desafíos y las tensiones que pueden surgir entre los investigadores de seguridad y los principales proveedores de software en el proceso crítico de divulgación de vulnerabilidades.