L’investigador de seguretat anònim que fa servir el nom de Chaotic Eclipse (també conegut com a Nightmare-Eclipse) ha publicat una acció de prova de concepte (PoC) per a un altre atac zero-day de Microsoft Defender anomenat RoguePlanet.

«L’explotador és una situació de competició, per tant, és un encert o un error», va dir l’investigador, que va publicar l’explotador amb un nou compte de GitHub «MSNightmare». I va afegir «He aconseguit una taxa d’èxit del 100 % en algunes màquines mentre que en d’altres ha tingut dificultats per funcionar.»

Si l’explotador té èxit, el resultat és un shell amb privilegis de nivell de sistema, que atorguen a l’atacant la capacitat d’executar codi arbitrari o dur a terme accions no autoritzades.

L’investigador va dir que l’explotador s’ha provat en màquines amb Windows 11 i 10 amb les actualitzacions de Patch Tuesday del juny de 2026 instal·lades, cosa que significa que l’explotador funciona amb les versions actualitzades del sistema operatiu d’escriptori.

Dit això, l’explotador no funciona en instàncies de Windows Server en la seva forma actual, atès que «els usuaris estàndard no poden muntar una imatge ISO.» Chaotic Eclipse va emfatitzar que les instal·lacions de Windows Server també són vulnerables a la falla i que l’explotador s’ha de redissenyar perquè funcioni.

«Aconseguir que aquesta prova de concepte funcionés realment em va esgotar l’ànima, va degradar greument la meva salut mental i física, però a finals de maig [sic] es va desenvolupar una prova de concepte completa», va dir l’investigador.

«Els esforços de Microsoft per protegir Defender dels atacs de redirecció de ruta són inútils, també tinc un lot de vulnerabilitats de corrupció de memòria a Defender i, per no parlar de l’altre lot de vulnerabilitats que tinc en diversos altres components.»

L’investigador de seguretat Will Dormann, en una publicació, que ha compartit a Mastodon, va dir «segons sembla, no és 100 % fiable, però em va funcionar al primer intent.»

RoguePlanet és l’últim d’una sèrie de defectes de Microsoft Defender descoberts per Chaotic Eclipse en els darrers mesos.

• BlueHammer (CVE-2026-33825)
• UnDefend (CVE-2026-45498)
• RedSun (CVE-2026-41091)

Aquestes revelacions descoordinades formen part del que s’avalua com un esforç de represàlia després d’una presumpta interrupció de la comunicació entre l’investigador, que no s’ha identificat públicament, i Microsoft.

En publicacions signades criptogràficament a la seva pàgina de Blogger, Chaotic Eclipse va expressar la seva insatisfacció amb la manera com Microsoft va gestionar el procés de divulgació i va criticar l’empresa per revocar l’accés al seu compte del Microsoft Security Response Center (MSRC), on els investigadors poden informar de vulnerabilitats. L’investigador també ha acusat Redmond d’humiliar-los, desestimar els seus informes, no compensar-los per les vulnerabilitats identificades i difamar-los.

A finals del mes passat, Microsoft va condemnar les divulgacions públiques de vulnerabilitats, afirmant que «mai són justificables» i posen els clients en «risc innecessari». Cal assenyalar que les tres vulnerabilitats del Defender esmentades anteriorment han estat explotades des de llavors.

La disputa pública també ha provocat la retirada dels seus comptes de GitHub i GitLab. «Microsoft intenta fer un mal ús de la propietat de GitHub per protegir només els seus propis productes i fer un mal ús dels seus extensos enllaços amb les forces de seguretat qualificant la publicació d’informació sobre vulnerabilitats en els seus propis productes com a comportament criminal», va dir l’investigador de seguretat Kevin Beaumont.

«Per tal de ser clars sobre el nostre enfocament en assumptes legals, no tenim cap intenció d’emprendre accions contra individus que duguin a terme o publiquin la seva investigació de seguretat», va dir Microsoft en una publicació a X. «Quan una persona incompleixi la llei i participi en activitats malicioses que causin danys reals als nostres clients, treballarem amb les forces de seguretat segons correspongui.»

«Ens comprometem a abordar cada interacció amb transparència, comunicació clara i professionalitat. Continuem creient fermament en la divulgació coordinada de vulnerabilitats com a base per protegir els clients i millorar els nostres productes.»

Actualització

Quan vam contactar amb un portaveu de Microsoft per fer-hi comentaris, va compartir la següent declaració amb The Hacker News:

Microsoft és conscient de la vulnerabilitat informada i està investigant activament la validesa i la possible aplicabilitat d’aquestes afirmacions. Microsoft es compromet a investigar els problemes de seguretat i a actualitzar els productes afectats per protegir els clients com més aviat millor. És important destacar que donem suport a la divulgació coordinada de vulnerabilitats, un estàndard de la indústria que protegeix els clients i dona suport a la comunitat investigadora tot garantint que les seves troballes s’investiguin i s’abordin a fons abans de fer-se públiques.

(La història s’ha actualitzat després de la publicació per incloure una resposta de Microsoft.)