O pesquisador de segurança anônimo que se identifica como Chaotic Eclipse (também conhecido como Nightmare-Eclipse) divulgou uma prova de conceito (PoC, na sigla em inglês para Proof of Concept) de exploit para mais uma vulnerabilidade zero-day no Microsoft Defender, batizada de RoguePlanet.
"O exploit é uma condição de corrida, então ele funciona ou não", afirmou o pesquisador, que publicou o exploit em uma nova conta no GitHub chamada "MSNightmare". "Consegui obter uma taxa de sucesso de 100% em algumas máquinas, enquanto em outras ele teve dificuldade para funcionar."
Caso o exploit tenha sucesso, o resultado é um shell com privilégios de nível SYSTEM, concedendo ao atacante a capacidade de executar código arbitrário ou realizar ações não autorizadas.
O pesquisador afirmou que o exploit foi testado em máquinas com Windows 11 e 10 com as atualizações do Patch Tuesday de junho de 2026 instaladas, o que significa que o exploit funciona nas versões atualizadas do sistema operacional de desktop.
Dito isso, o exploit não funciona em instâncias do Windows Server em sua forma atual, já que "usuários padrão não podem montar uma imagem ISO". Chaotic Eclipse enfatizou que instalações do Windows Server também são vulneráveis à falha e que o exploit precisa ser redesenhado para funcionar nesse ambiente.
"Fazer essa PoC funcionar realmente drenou minha alma, prejudicou severamente minha saúde mental e física, mas no final de maio [sic], uma PoC completa foi desenvolvida", disse o pesquisador.
"Os esforços da Microsoft para proteger o Defender contra ataques de redirecionamento de caminho são inúteis. Tenho um lote de vulnerabilidades de corrupção de memória no Defender também, sem mencionar o outro lote de vulnerabilidades que tenho em vários outros componentes."
Crédito do vídeo: ThreatLocker
O pesquisador de segurança Will Dormann, em um post compartilhado no Mastodon, afirmou que "supostamente não é 100% confiável, mas funcionou na primeira tentativa para mim".
Uma série de falhas recentes
RoguePlanet é a mais recente de uma série de falhas descobertas por Chaotic Eclipse nos últimos meses:
- BlueHammer (CVE-2026-33825)
- UnDefend (CVE-2026-45498)
- RedSun (CVE-2026-41091)
Essas divulgações não coordenadas fazem parte do que se avalia ser um esforço de retaliação após um suposto colapso na comunicação entre o pesquisador, que não se identificou publicamente, e a Microsoft.
Em postagens criptograficamente assinadas em sua página no Blogger, Chaotic Eclipse expressou insatisfação com a maneira como a Microsoft conduziu o processo de divulgação e acusou a empresa de revogar o acesso à sua conta no Centro de Resposta de Segurança da Microsoft (MSRC, na sigla em inglês para Microsoft Security Response Center), onde pesquisadores podem reportar vulnerabilidades. O pesquisador também acusou a empresa de Redmond de humilhá-lo, descartar seus relatórios, não compensá-lo pelas vulnerabilidades identificadas e difamá-lo.
No final do mês passado, a Microsoft condenou as divulgações públicas de vulnerabilidades, afirmando que elas "nunca são justificáveis" e colocam os clientes em "risco desnecessário". Vale notar que todas as três vulnerabilidades do Defender mencionadas acima já foram exploradas em ataques reais.
Confronto público com a Microsoft
A briga pública também resultou na remoção de suas contas no GitHub e no GitLab. "A Microsoft está tentando usar indevidamente sua propriedade do GitHub para proteger apenas seus próprios produtos, e se valendo de seus extensos vínculos com a aplicação da lei para classificar a publicação de informações sobre vulnerabilidades em seus próprios produtos como comportamento criminoso", afirmou o pesquisador de segurança Kevin Beaumont.
"Para esclarecer nossa abordagem em questões legais, não temos a intenção de tomar medidas contra indivíduos que realizam ou publicam suas pesquisas de segurança", declarou a Microsoft em um post no X. "Quando um indivíduo infringe a lei e se envolve em atividades maliciosas causando danos reais aos nossos clientes, trabalharemos com a aplicação da lei conforme apropriado."
"Estamos comprometidos em abordar cada interação com transparência, comunicação clara e profissionalismo. Continuamos acreditando fortemente na Divulgação Coordenada de Vulnerabilidades como a base para proteger os clientes e melhorar nossos produtos."
