RoguePlanet: il quinto zero-day di Nightmare Eclipse trasforma Microsoft Defender in un vettore di escalation a SYSTEM
@Informatica (Italy e non Italy)
Un ricercatore in guerra aperta con Microsoft rilascia 'RoguePlanet', un exploit zero-day che sfrutta una race condition in Microsoft Defender per ottenere privilegi SYSTEM su
RoguePlanet: il quinto zero-day di Nightmare Eclipse trasforma Microsoft Defender in un vettore di escalation a SYSTEM
Ore dopo che Microsoft ha distribuito il Patch Tuesday di giugno 2026 — correggendo tra l’altro due zero-day dello stesso ricercatore — Nightmare Eclipse ha rilasciato pubblicamente RoguePlanet, un nuovo exploit che sfrutta una race condition in Microsoft Defender per elevare i privilegi a SYSTEM su sistemi completamente patchati. Il gesto è l’ultimo atto di una guerra a distanza tra il ricercatore e Redmond su pratiche di divulgazione e bug bounty, e solleva interrogativi scomodi sulla gestione delle vulnerabilità da parte della più grande azienda di software al mondo.La saga Nightmare Eclipse: cinque zero-day, una disputa irrisolta
RoguePlanet è il quinto exploit zero-day pubblicamente rilasciato da Nightmare Eclipse negli ultimi mesi, dopo BlueHammer, RedSun, GreenPlasma e YellowKey. I precedenti exploit hanno colpito Microsoft Defender, BitLocker e componenti core di Windows; GreenPlasma e YellowKey sono stati corretti proprio nel Patch Tuesday del 9 giugno 2026.Il ricercatore sostiene che Microsoft abbia sistematicamente rimosso i repository GitHub e GitLab che ospitavano i PoC, costringendolo a creare una piattaforma self-hosted (
projectnightcrawler.dev). Microsoft ha risposto nel maggio 2026 con un comunicato del MSRC in cui avvertiva che avrebbe collaborato con le autorità in caso di “attività dannose che causano reale danno ai clienti” — una formulazione che la comunità della sicurezza ha ampiamente interpretato come una velata minaccia legale verso il ricercatore. L’effetto è stato controproducente: la tensione si è intensificata, e RoguePlanet ne è la diretta conseguenza.Meccanica dell’exploit: dalla RCE alla LPE via Defender
RoguePlanet nasce originariamente come vulnerabilità di Remote Code Execution. L’idea iniziale sfruttava il modo in cui Microsoft Defender gestisce file ospitati su share SMB remoti: un attaccante poteva indurre una vittima ad aprire un file.vhd(x)su un server SMB controllato, ottenendo che Defender sovrascrivesse i propri file — con conseguente RCE.A metà maggio 2026, Microsoft ha effettuato un hardening silenzioso dell’API
mpengine!SysIO*, bloccando gli attacchi basati su junction point. Il ricercatore ha dovuto riscrivere l’exploit da zero, riuscendo a preservare solo la componente di Local Privilege Escalation. Nella forma attuale:
- L’exploit sfrutta una race condition nella logica di processing interno di Defender.
- Un utente non privilegiato reindirizza un’operazione su file eseguita da Defender (che gira come SYSTEM) verso codice controllato dall’attaccante.
- Il risultato è l’apertura di un command prompt con privilegi SYSTEM — la shell più privilegiata su Windows.
- La percentuale di successo è variabile: il ricercatore riporta “100% su alcune macchine, meno su altre”, essendo una race condition dipendente dal timing.
ThreatLocker ha confermato la riproducibilità dell’exploit su Windows 11 con la patch KB5094126 installata. Il CEO Danny Jenkins ha dichiarato a BleepingComputer: “La nostra analisi iniziale conferma che l’exploit RoguePlanet è valido e funziona come descritto. Le organizzazioni che utilizzano application allowlisting possono prevenire l’esecuzione dell’exploit.”
Sistemi affetti e stato attuale
Al momento della pubblicazione di questo articolo, non esiste una patch ufficiale Microsoft per RoguePlanet. I sistemi vulnerabili includono:
- Windows 11 (build Official e Canary) con gli aggiornamenti di giugno 2026 installati
- Windows 10 con gli aggiornamenti di giugno 2026 installati
Non sono stati rilevati casi di sfruttamento attivo in the wild al momento della scrittura. Tuttavia, l’exploit è pubblicamente disponibile su un repository self-hosted, il che abbassa significativamente la barriera per attori motivati.
Il paradosso della divulgazione: quando il vendor diventa il problema
La vicenda Nightmare Eclipse tocca un nervo scoperto dell’ecosistema della sicurezza: cosa succede quando un vendor di dimensioni planetarie risponde ai ricercatori indipendenti con minacce legali anziché con correzioni tempestive e riconoscimento equo?Il modello di coordinated disclosure — già fragile — mostra le sue crepe: il ricercatore ha seguito le procedure inizialmente, ma la risposta di Microsoft (rimozione dei repository, silenzio sul bug bounty, comunicato quasi legalistico) ha spinto verso la full disclosure non coordinata. Il risultato è una serie di zero-day pubblici su uno dei sistemi operativi più diffusi al mondo, senza patch disponibili.
Va notato che la comunità della sicurezza rimane divisa: alcuni vedono Nightmare Eclipse come un ricercatore che agisce nell’interesse pubblico esponendo pratiche scorrette; altri ritengono che rilasciare exploit senza patch metta in pericolo utenti comuni. La verità è che entrambe le posizioni hanno una base legittima — e che il vero problema risiede nel comportamento di Microsoft.
Indicatori e due righe per i difensori
In assenza di patch, le misure di mitigazione disponibili sono:
- Application allowlisting: come confermato da ThreatLocker, blocca l’esecuzione del payload. Soluzioni come Windows Defender Application Control (WDAC) o AppLocker possono essere efficaci.
- Principio del minimo privilegio: l’exploit richiede l’esecuzione di codice come utente locale. Ridurre la superficie d’attacco limitando i diritti degli utenti finali.
- Monitoraggio dei processi sospetti: alert su processi figlio spawned da MsMpEng.exe (il processo principale di Defender) con privilegi elevati.
- EDR e XDR: monitorare comportamenti anomali legati a race condition sulle operazioni di file di Defender.
# Processo da monitorare MsMpEng.exe → cmd.exe / powershell.exe (child process con TOKEN SYSTEM) # Percorsi sensibili coinvolti C:\ProgramData\Microsoft\Windows Defender\* mpengine!SysIO* API calls con reindirizzamento anomalo # Fonti di intelligence projectnightcrawler.dev (self-hosted repo Nightmare Eclipse) CVE: non ancora assegnato al momento della pubblicazione
La storia di RoguePlanet non è semplicemente quella di un exploit: è il sintomo di un ecosistema della vulnerability disclosure sotto pressione, in cui le dinamiche di potere tra vendor e ricercatori indipendenti producono rischi reali per tutti gli utenti Windows. Seguiremo gli sviluppi.