### Novo Zero-Day Surge O pesquisador de segurança **Nightmare Eclipse** lançou um novo exploit zero-day, 'RoguePlanet', visando o **Microsoft Defender**. Esta divulgação ocorre logo após o Patch Tuesday de junho de 2026 da **Microsoft**, que abordou duas falhas relatadas anteriormente pelo mesmo pesquisador. ### Capacidades do RoguePlanet O exploit 'RoguePlanet' utiliza uma condição de corrida dentro do **Microsoft Defender** para abrir um prompt de comando com privilégios SYSTEM. **Nightmare Eclipse** afirma que a vulnerabilidade afeta dispositivos Windows 10 e Windows 11 totalmente corrigidos. Um exploit de prova de conceito (PoC) foi compartilhado em um repositório Git auto-hospedado, após supostas remoções de seus exploits anteriores do **GitHub** e **GitLab** pela **Microsoft**. "O exploit é uma condição de corrida, então é um acerto ou erro. Consegui obter uma taxa de sucesso de 100% em algumas máquinas, enquanto em outras tive dificuldade em funcionar", afirmou **Nightmare Eclipse** no repositório. A falha foi testada com sucesso contra compilações oficiais e Canary do Windows 11, bem como sistemas Windows 10 com as atualizações de segurança mais recentes de junho de 2026 instaladas. ### Verificação Independente A empresa de cibersegurança **ThreatLocker** reproduziu independentemente a falha, confirmando sua viabilidade contra sistemas Windows 11 totalmente corrigidos executando o **KB5094126**. Danny Jenkins, CEO da **ThreatLocker**, observou: "Nossa análise inicial confirma que o exploit RoguePlanet é viável e funciona conforme descrito. Organizações que usam lista de permissões de aplicativos podem impedir a execução do exploit, fornecendo uma camada eficaz de proteção contra este ataque." ### Evolução de RCE para LPE Inicialmente, 'RoguePlanet' foi desenvolvido como uma vulnerabilidade de execução remota de código (RCE). Ele explorava o tratamento de arquivos do **Microsoft Defender** em compartilhamentos SMB remotos, potencialmente levando o **Defender** a sobrescrever seus próprios arquivos. Outro cenário de RCE envolvia coagir uma vítima a abrir um compartilhamento SMB com configurações específicas de avaliação de symlink habilitadas. No entanto, **Nightmare Eclipse** afirma que a **Microsoft** fortaleceu silenciosamente o **Defender** em meados de maio, corrigindo a API `mpengine!SysIO*`, o que bloqueou ataques de junction. Isso forçou uma reescrita do 'RoguePlanet', limitando sua capacidade demonstrada atual à escalonamento de privilégios local (LPE). ### Disputa de Divulgação em Andamento Este lançamento faz parte de uma disputa contínua entre **Nightmare Eclipse** e a **Microsoft** sobre as práticas da empresa em divulgação de vulnerabilidades e programas de recompensa por bugs. Nos últimos meses, o pesquisador divulgou publicamente vários zero-days do Windows, incluindo **BlueHammer**, **RedSun**, **GreenPlasma** e **YellowKey**, visando o **Microsoft Defender**, **BitLocker** e outros componentes do Windows. A **Microsoft** abordou as falhas **GreenPlasma** e **YellowKey** nas atualizações de Patch Tuesday de junho de 2026. Anteriormente, a **Microsoft** respondeu a essas divulgações com avisos sobre trabalhar com as autoridades policiais por "atividade maliciosa causando danos reais aos nossos clientes", o que foi interpretado por muitos na comunidade de cibersegurança como uma ameaça contra o pesquisador. **Nightmare Eclipse** alega que a **Microsoft** tem repetidamente visado e removido seus repositórios anteriores do **GitHub** e **GitLab**, levando-os a estabelecer uma plataforma de código auto-hospedada em projectnightcrawler.dev. O **Ghost Protocol** entrou em contato com a **Microsoft** para obter uma declaração sobre este novo zero-day e atualizará este relatório à medida que mais informações estiverem disponíveis.