El investigador de seguridad anónimo conocido como
Chaotic Eclipse (también conocido como Nightmare-Eclipse) ha
publicado una prueba de concepto (PoC) de un
exploit
para otra vulnerabilidad de día cero de Microsoft Defender llamada
RoguePlanet.
«El exploit es una condición de carrera, por lo que su efectividad es
variable»,
declaró el investigador, quien publicó el exploit bajo una nueva cuenta de GitHub llamada
«MSNightmare».
«He logrado un 100% de éxito en algunas máquinas, mientras que en otras ha
tenido dificultades para funcionar».
Si el exploit tiene éxito, se obtiene una shell con privilegios de
nivel SYSTEM, lo que permite al atacante ejecutar código arbitrario o realizar
acciones no autorizadas. El investigador afirmó que el exploit se ha
probado en máquinas con Windows 11 y 10 con las actualizaciones de Patch
Tuesday de junio de 2026 instaladas, lo que significa que funciona en las
versiones más recientes del sistema operativo de escritorio.
Sin embargo, el exploit no funciona en instancias de Windows Server en
su forma actual, ya que
«los usuarios estándar no pueden montar una imagen ISO». Chaotic
Eclipse destacó que las instalaciones de Windows Server también son
vulnerables a la falla y que el exploit necesita ser rediseñado para que
funcione.
«Lograr que esta prueba de concepto funcionara me agotó por completo;
afectó gravemente mi salud mental y física, pero a finales de mayo [sic] se
desarrolló una prueba de concepto completa», dijo el investigador.
«Los esfuerzos de Microsoft para proteger a Defender de los ataques de
redirección de ruta son inútiles. También tengo varias vulnerabilidades de
corrupción de memoria en Defender, sin mencionar otras vulnerabilidades que
tengo en varios componentes».
El investigador de seguridad Will Dormann, en una
publicación compartida en Mastodon, dijo:
«Según se informa, no es 100% confiable, pero me funcionó al primer
intento». RoguePlanet es la última de una serie de vulnerabilidades descubiertas por
Chaotic Eclipse en los últimos meses.
Estas divulgaciones descoordinadas forman parte de lo que se considera una
represalia tras una supuesta falta de comunicación entre el investigador, que
no se ha identificado públicamente, y Microsoft.
En publicaciones firmadas criptográficamente en su blog, Chaotic Eclipse
expresó su descontento con la forma en que Microsoft gestionó el proceso de
divulgación y criticó a la compañía por revocar el acceso a su cuenta del
Centro de Respuesta de Seguridad de Microsoft (MSRC), donde los investigadores
pueden reportar vulnerabilidades. El investigador también acusó a Microsoft de
humillarlo, desestimar sus informes, no compensarlo por las vulnerabilidades
identificadas y difamarlo.
A finales del mes pasado,
Microsoft condenó las divulgaciones públicas de vulnerabilidades, afirmando que «nunca se justifican» y que exponen a los clientes a un
«riesgo innecesario». Cabe destacar que las tres vulnerabilidades de Defender
mencionadas anteriormente ya han sido explotadas.
La disputa pública también ha provocado el cierre de sus cuentas de GitHub y
GitLab.
«Microsoft está intentando abusar de su propiedad de GitHub para proteger
únicamente sus propios productos, y de sus amplios vínculos con las fuerzas
del orden, calificando la publicación de información sobre vulnerabilidades
en sus propios productos como un comportamiento delictivo»,
declaró
el investigador de seguridad Kevin Beaumont.
«Para que quede claro nuestro enfoque en materia legal, no tenemos
intención de emprender acciones legales contra las personas que realizan o
publican investigaciones sobre seguridad», afirmó Microsoft en una publicación de X.
«Cuando una persona infringe la ley y participa en actividades maliciosas
que causan un daño real a nuestros clientes, colaboraremos con las fuerzas
del orden según corresponda».
Fuente:
THN