El antivirus integrado de Windows ahora favorece a los atacantes y concede privilegios SYSTEM. Gracias, Nightmare‑Eclipse
Hacker polémico lanza nuevo exploit "RoguePlanet"
El enfrentamiento del investigador conocido como Nightmare Eclipse con Microsoft llevó a otra publicación de una peligrosa vulnerabilidad de Windows: en la red apareció un exploit RoguePlanet para Microsoft Defender, que permite obtener los máximos privilegios del sistema incluso en un equipo completamente actualizado con Windows 10 o Windows 11.
La vulnerabilidad se basa en una condición de carrera —una situación en la que dos procesos acceden al mismo recurso al mismo tiempo y el atacante logra intervenir en ese momento. Como resultado de un ataque exitoso, en la pantalla se abre el símbolo del sistema con privilegios SYSTEM —el nivel de acceso más alto en Windows. Además de GitHub, Nightmare Eclipse publicó el código funcional del exploit también en su propio repositorio, alegando que Microsoft había eliminado repetidamente sus materiales de GitHub y GitLab.
La empresa ThreatLocker confirmó la eficacia del exploit en sistemas Windows 11 completamente actualizados con la actualización KB5094126 instalada e incluso publicó un video con la demostración. El propio investigador aclara que el resultado es inestable: en algunas máquinas lograba una tasa de éxito del cien por cien, en otras el exploit funcionaba peor.
Inicialmente la vulnerabilidad se concibió como una herramienta para la ejecución remota de código mediante el procesamiento por Defender de archivos en servidores SMB remotos. Sin embargo, a mediados de mayo Microsoft cambió discretamente el mecanismo correspondiente del defensor, bloqueando uno de los vectores de ataque clave. Tras eso, Nightmare Eclipse rehízo el exploit, pero reconoció que la posibilidad de ejecución remota de código sigue siendo cuestionable por ahora.
La publicación formó parte del prolongado conflicto entre el investigador y Microsoft por la política de recompensas por vulnerabilidades encontradas. En los últimos meses, Nightmare Eclipse reveló varias vulnerabilidades de día cero, entre ellas BlueHammer, RedSun, GreenPlasma y YellowKey. Microsoft cerró las dos últimas en el Patch Tuesday de junio —el mismo día en que apareció RoguePlanet. La compañía había advertido antes que estaba dispuesta a implicar a las fuerzas de seguridad en caso de «actividad malintencionada» que pudiera dañar a sus clientes. Sin embargo, posteriormente suavizó su postura tras el revuelo en la comunidad.
ThreatLocker señaló que las organizaciones que usan listas de aplicaciones permitidas pueden bloquear la ejecución de RoguePlanet. No había habido una corrección oficial de Microsoft en el momento de la publicación.