Встроенный в Windows антивирус теперь работает на взломщиков и раздаёт права SYSTEM. Спасибо, Nightmare-Eclipse
Скандально известный хакер выпустил новый эксплойт под названием RoguePlanet.
Противостояние исследователя под ником Nightmare Eclipse с Microsoft привело к очередной публикации опасной уязвимости Windows: в сети появился эксплойт RoguePlanet для Microsoft Defender, который позволяет получить максимальные системные права даже на полностью обновлённом компьютере с Windows 10 или Windows 11.
Уязвимость основана на состоянии гонки — ситуации, когда два процесса одновременно обращаются к одному ресурсу, и атакующий успевает вмешаться в этот момент. В результате успешной атаки на экране открывается командная строка с привилегиями SYSTEM — наивысшим уровнем доступа в Windows. Помимо GitHub, Nightmare Eclipse опубликовал рабочий код эксплойта и в собственном репозитории, сославшись на то, что Microsoft неоднократно удаляла его материалы с GitHub и GitLab.
Компания ThreatLocker подтвердила работоспособность эксплойта на полностью обновлённых системах Windows 11 с установленным обновлением KB5094126 и даже опубликовала видео с демонстрацией. Сам исследователь оговаривается, что результат нестабилен: на одних машинах удавалось добиться стопроцентного срабатывания, на других эксплойт работал хуже.
Изначально уязвимость задумывалась как инструмент удалённого выполнения кода через обработку Defender файлов на удалённых SMB-серверах. Однако в середине мая Microsoft незаметно изменила соответствующий механизм защитника, заблокировав один из ключевых векторов атаки. После этого Nightmare Eclipse переработал эксплойт, но признал, что возможность удалённого выполнения кода пока остаётся под вопросом.
Публикация стала частью затяжного конфликта между исследователем и Microsoft из-за политики выплат за найденные уязвимости. За последние месяцы Nightmare Eclipse раскрыл несколько уязвимостей нулевого дня, в том числе BlueHammer, RedSun, GreenPlasma и YellowKey. Две последние Microsoft закрыла в рамках июньского Patch Tuesday — в тот же день, когда появился RoguePlanet. Компания ранее предупреждала, что готова привлекать правоохранительные органы в случае «вредоносной деятельности», способной навредить её клиентам. Однако позже всё же сгладила углы после резонанса в сообществе.
ThreatLocker отметила, что организации, использующие списки разрешённых приложений, могут заблокировать выполнение RoguePlanet. Официального исправления от Microsoft на момент публикации не поступало.