🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um pesquisador de segurança lançou um novo exploit de dia zero do Microsoft Defender chamado “RoguePlanet” poucas horas depois que a Microsoft corrigiu duas falhas divulgadas anteriormente durante o Patch Tuesday de junho de 2026.
O pesquisador, conhecido como Nightmare Eclipse, diz que a nova vulnerabilidade afeta dispositivos Windows 10 e Windows 11 totalmente corrigidos, permitindo que invasores gerem um prompt de comando com privilégios de SYSTEM por meio de uma vulnerabilidade de condição de corrida do Microsoft Defender.
O pesquisador compartilhou uma exploração de prova de conceito na tarde de terça-feira em um repositório Git auto-hospedado, depois de dizer que os repositórios GitHub e GitLab que hospedam suas explorações já haviam sido removidos pela Microsoft.
“A exploração é uma condição de corrida, então é um sucesso ou um fracasso. Consegui obter uma taxa de sucesso de 100% em algumas máquinas enquanto ele lutava para funcionar em outras”, escreveu Nightmare Eclipse no repositório.
A falha foi supostamente testada em versões oficiais do Windows 11 e Canary, bem como em sistemas Windows 10 com as atualizações de segurança de junho de 2026 instaladas.
Quando bem-sucedido, um prompt de comando do Windows será gerado com privilégios de SYSTEM.
A empresa de segurança cibernética ThreatLocker disse ao BleepingComputer que eles reproduziram com sucesso a falha em seus testes e confirmaram que a exploração funcionou em sistemas Windows 11 totalmente corrigidos com KB5094126 instalado e compartilhou um vídeo demonstrando isso.
"Nossa análise inicial confirma que a exploração do RoguePlanet é viável e funciona conforme descrito. As organizações que usam a lista de permissões de aplicativos podem impedir a execução da exploração, fornecendo uma camada eficaz de proteção contra esse ataque", disse Danny Jenkins, CEO da ThreatLocker, ao BleepingComputer.
De acordo com Nightmare Eclipse, RoguePlanet foi originalmente desenvolvido como uma vulnerabilidade de execução remota de código que explorava o manuseio de arquivos hospedados em compartilhamentos SMB remotos pelo Microsoft Defender.
“No desenvolvimento inicial, foi confirmado que esta vulnerabilidade era uma execução remota de código”, explicou o pesquisador em um post no blog.
"Foi necessário que um invasor coagisse uma vítima a abrir um .vhd(x) em um servidor SMB remoto. A exploração bem-sucedida resultou na substituição dos próprios arquivos pelo defensor e, obviamente, o resultado final foi um RCE."
O pesquisador diz que outro cenário de ataque poderia levar à execução remota de código simplesmente coagindo a vítima a abrir um compartilhamento SMB se as configurações de avaliação de link simbólico estivessem habilitadas.
No entanto, o pesquisador afirma que a Microsoft reforçou silenciosamente o Defender em meados de maio, corrigindo a API “mpengine!SysIO*”, que bloqueava ataques de junção.
“Reescrever o RoguePlanet para torná-lo funcional novamente drenou minha alma e não consegui completar os outros cenários e por enquanto ainda não está claro se o RoguePlanet está limitado ao LPE ou se existe alguma maneira de transformá-lo em um RCE”, escreveu o pesquisador.
O lançamento faz parte de uma disputa contínua entre o Nightmare Eclipse e a Microsoft sobre a divulgação de vulnerabilidades e as práticas de recompensa de bugs da empresa.
Nos últimos meses, o pesquisador divulgou publicamente vários dias zero do Windows, incluindo as falhas BlueHammer, RedSun, GreenPlasma e YellowKey. Alguns dos zero-day tinham como alvo o Microsoft Defender, enquanto outros tinham como alvo o BitLocker e os componentes do Windows.
A Microsoft corrigiu as falhas GreenPlasma e YellowKey hoje como parte das atualizações do Patch Tuesday de junho de 2026.
A Microsoft reagiu anteriormente às divulgações com avisos de que trabalharia com as autoridades policiais quando as pessoas se envolvessem em "atividades maliciosas que causassem danos reais aos nossos clientes", levando muitos na comunidade de segurança cibernética a pensar que a Microsoft estava ameaçando o pesquisador.
Nightmare Eclipse afirma que a Microsoft repetidamente direcionou e removeu repositórios anteriores hospedados no GitHub e GitLab, solicitando a criação de uma plataforma de código auto-hospedada em projectnightcrawler.dev.
BleepingComputer entrou em contato com a Microsoft sobre o novo dia zero e atualizará a história se recebermos uma declaração.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
O pesquisador, conhecido como Nightmare Eclipse, diz que a nova vulnerabilidade afeta dispositivos Windows 10 e Windows 11 totalmente corrigidos, permitindo que invasores gerem um prompt de comando com privilégios de SYSTEM por meio de uma vulnerabilidade de condição de corrida do Microsoft Defender.
O pesquisador compartilhou uma exploração de prova de conceito na tarde de terça-feira em um repositório Git auto-hospedado, depois de dizer que os repositórios GitHub e GitLab que hospedam suas explorações já haviam sido removidos pela Microsoft.
“A exploração é uma condição de corrida, então é um sucesso ou um fracasso. Consegui obter uma taxa de sucesso de 100% em algumas máquinas enquanto ele lutava para funcionar em outras”, escreveu Nightmare Eclipse no repositório.
A falha foi supostamente testada em versões oficiais do Windows 11 e Canary, bem como em sistemas Windows 10 com as atualizações de segurança de junho de 2026 instaladas.
Quando bem-sucedido, um prompt de comando do Windows será gerado com privilégios de SYSTEM.
A empresa de segurança cibernética ThreatLocker disse ao BleepingComputer que eles reproduziram com sucesso a falha em seus testes e confirmaram que a exploração funcionou em sistemas Windows 11 totalmente corrigidos com KB5094126 instalado e compartilhou um vídeo demonstrando isso.
"Nossa análise inicial confirma que a exploração do RoguePlanet é viável e funciona conforme descrito. As organizações que usam a lista de permissões de aplicativos podem impedir a execução da exploração, fornecendo uma camada eficaz de proteção contra esse ataque", disse Danny Jenkins, CEO da ThreatLocker, ao BleepingComputer.
De acordo com Nightmare Eclipse, RoguePlanet foi originalmente desenvolvido como uma vulnerabilidade de execução remota de código que explorava o manuseio de arquivos hospedados em compartilhamentos SMB remotos pelo Microsoft Defender.
“No desenvolvimento inicial, foi confirmado que esta vulnerabilidade era uma execução remota de código”, explicou o pesquisador em um post no blog.
"Foi necessário que um invasor coagisse uma vítima a abrir um .vhd(x) em um servidor SMB remoto. A exploração bem-sucedida resultou na substituição dos próprios arquivos pelo defensor e, obviamente, o resultado final foi um RCE."
O pesquisador diz que outro cenário de ataque poderia levar à execução remota de código simplesmente coagindo a vítima a abrir um compartilhamento SMB se as configurações de avaliação de link simbólico estivessem habilitadas.
No entanto, o pesquisador afirma que a Microsoft reforçou silenciosamente o Defender em meados de maio, corrigindo a API “mpengine!SysIO*”, que bloqueava ataques de junção.
“Reescrever o RoguePlanet para torná-lo funcional novamente drenou minha alma e não consegui completar os outros cenários e por enquanto ainda não está claro se o RoguePlanet está limitado ao LPE ou se existe alguma maneira de transformá-lo em um RCE”, escreveu o pesquisador.
O lançamento faz parte de uma disputa contínua entre o Nightmare Eclipse e a Microsoft sobre a divulgação de vulnerabilidades e as práticas de recompensa de bugs da empresa.
Nos últimos meses, o pesquisador divulgou publicamente vários dias zero do Windows, incluindo as falhas BlueHammer, RedSun, GreenPlasma e YellowKey. Alguns dos zero-day tinham como alvo o Microsoft Defender, enquanto outros tinham como alvo o BitLocker e os componentes do Windows.
A Microsoft corrigiu as falhas GreenPlasma e YellowKey hoje como parte das atualizações do Patch Tuesday de junho de 2026.
A Microsoft reagiu anteriormente às divulgações com avisos de que trabalharia com as autoridades policiais quando as pessoas se envolvessem em "atividades maliciosas que causassem danos reais aos nossos clientes", levando muitos na comunidade de segurança cibernética a pensar que a Microsoft estava ameaçando o pesquisador.
Nightmare Eclipse afirma que a Microsoft repetidamente direcionou e removeu repositórios anteriores hospedados no GitHub e GitLab, solicitando a criação de uma plataforma de código auto-hospedada em projectnightcrawler.dev.
BleepingComputer entrou em contato com a Microsoft sobre o novo dia zero e atualizará a história se recebermos uma declaração.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #o #dia #zero #do #microsoft #defender #‘rogueplanet’ #concede #privilégios #de #system
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário