O pesquisador de segurança, conhecido como **Chaotic Eclipse** (também **Nightmare-Eclipse**), divulgou um novo exploit zero-day para o **Microsoft Defender**, apelidado de **RoguePlanet**. O PoC de exploit, publicado sob uma nova conta no GitHub, **MSNightmare**, é uma condição de corrida que, se bem-sucedida, concede a um atacante privilégios de nível SYSTEM. "O exploit é uma condição de corrida, então é tentativa e erro", declarou o pesquisador. "Consegui uma taxa de sucesso de 100% em algumas máquinas, enquanto em outras teve dificuldade em funcionar." ### Impacto e Escopo A exploração bem-sucedida do **RoguePlanet** resulta em um shell com privilégios de nível SYSTEM, permitindo a execução arbitrária de código e ações não autorizadas. O exploit foi validado em máquinas **Windows 11** e **Windows 10** executando as atualizações de Patch Tuesday de junho de 2026, indicando sua eficácia contra sistemas totalmente corrigidos. Embora o PoC atual não funcione em instâncias do **Windows Server** devido à dependência do montagem de imagens ISO por usuários padrão, **Chaotic Eclipse** enfatizou que o **Windows Server** ainda é vulnerável à falha subjacente e um exploit redesenhado poderia visá-lo. ### Frustração do Pesquisador e Divulgações Anteriores **Chaotic Eclipse** expressou o significativo fardo pessoal durante o desenvolvimento deste PoC, afirmando: "Fazer este PoC funcionar realmente drenou minha alma, degradou severamente minha saúde mental e física, mas no final de maio, um PoC completo foi desenvolvido." O pesquisador também criticou os esforços da **Microsoft** para proteger o **Defender** contra ataques de redirecionamento de caminho, alegando possuir vulnerabilidades adicionais de corrupção de memória dentro do **Defender** e outros componentes da **Microsoft**. O pesquisador de segurança **Will Dormann** corroborou a funcionalidade do exploit, observando no **Mastodon** que "funcionou na primeira tentativa para mim", apesar de relatos de inconsistência. **RoguePlanet** é o mais recente de uma série de vulnerabilidades do **Microsoft Defender** divulgadas por **Chaotic Eclipse**, incluindo: * **BlueHammer** (**CVE-2026-33825**) * **UnDefend** (**CVE-2026-45498**) * **RedSun** (**CVE-2026-41091**) ### Divulgações Não Coordenadas e Disputa Pública Essas divulgações públicas são, supostamente, uma consequência de uma quebra de comunicação entre **Chaotic Eclipse** e a **Microsoft**. O pesquisador, que permanece anônimo, manifestou insatisfação com o tratamento da **Microsoft** ao processo de divulgação, alegando revogação de acesso à sua conta do **Microsoft Security Response Center (MSRC)**, descarte de relatórios, falta de compensação e difamação. A **Microsoft** condenou publicamente essas divulgações não coordenadas, afirmando que elas "nunca são justificáveis" e colocam os clientes em risco desnecessariamente. Notavelmente, todas as três vulnerabilidades do **Defender** mencionadas anteriormente foram exploradas em campo. A disputa em andamento também levou ao encerramento das contas de **Chaotic Eclipse** no **GitHub** e **GitLab**. O pesquisador de segurança **Kevin Beaumont** comentou sobre a situação, afirmando: "A Microsoft está tentando usar indevidamente sua propriedade do GitHub para proteger apenas seus próprios produtos e usar indevidamente seus extensos laços com as forças policiais, rotulando a publicação de informações sobre vulnerabilidades em seus próprios produtos como comportamento criminoso." A **Microsoft** respondeu através de uma postagem no X, esclarecendo sua posição legal: "Para ser claro sobre nossa abordagem em relação a assuntos legais, não temos intenção de tomar medidas contra indivíduos que realizam ou publicam suas pesquisas de segurança. Quando um indivíduo quebra a lei e se envolve em atividades maliciosas que causam danos reais aos nossos clientes, trabalharemos com as autoridades policiais conforme apropriado." Eles reiteraram seu compromisso com a transparência e a **Divulgação Coordenada de Vulnerabilidades (CVD)**, que consideram essencial para a proteção do cliente e a melhoria do produto. ### Declaração Oficial da Microsoft Em resposta a questionamentos, um porta-voz da **Microsoft** forneceu a seguinte declaração: "A Microsoft está ciente da vulnerabilidade relatada e está investigando ativamente a validade e a aplicabilidade potencial dessas alegações. A Microsoft está comprometida em investigar problemas de segurança e atualizar os produtos afetados para proteger os clientes o mais rápido possível. Importante, apoiamos a divulgação coordenada de vulnerabilidades, um padrão da indústria que protege os clientes e apoia a comunidade de pesquisa, garantindo que suas descobertas sejam investigadas e abordadas minuciosamente antes de serem tornadas públicas." A situação destaca os complexos desafios e tensões que podem surgir entre pesquisadores de segurança e grandes fornecedores de software no processo crítico de divulgação de vulnerabilidades.