En sikkerhedsforsker kendt som Nightmare-Eclipse har offentliggjort en ny nuldagssårbarhed i Windows Defender kaldet RoguePlanet. Exploitet udnytter en fejl i Microsofts antivirusplatform og gør det muligt for angribere at eskalere deres rettigheder til SYSTEM-niveau. Offentliggørelsen føjer endnu et kapitel til den igangværende konflikt mellem forskeren og Microsoft, som allerede har budt på flere offentlige nuldagssårbarheder i år.
RoguePlanet retter sig mod Windows Defender
RoguePlanet er et lokalt privilegieeskaleringsangreb, der udnytter en race condition-fejl i Windows Defender. Ifølge den offentliggjorte proof-of-concept-kode kan en almindelig bruger manipulere Defenders filoperationer og opnå SYSTEM-rettigheder på en sårbar maskine.
SYSTEM-rettigheder giver det højeste adgangsniveau i Windows. En angriber, der udnytter sårbarheden med succes, kan køre kommandoer, installere software, få adgang til følsomme data og overtage fuld kontrol over den berørte enhed.
Exploitet blev offentliggjort den 10. juni samtidig med Microsofts månedlige Patch Tuesday-opdateringer. På tidspunktet for offentliggørelsen havde Microsoft endnu ikke udsendt en sikkerhedsopdatering til sårbarheden.
Seneste udvikling i en igangværende konflikt
Nightmare-Eclipse har fået betydelig opmærksomhed gennem 2026 ved gentagne gange at offentliggøre Windows-nuldagssårbarheder uden at følge Microsofts proces for koordineret sårbarhedsrapportering.
Tidligere offentliggørelser har ramt Windows Defender, BitLocker og andre centrale Windows-komponenter. Flere af disse sårbarheder gjorde det muligt at eskalere privilegier eller omgå sikkerhedsfunktioner på fuldt opdaterede systemer.
Forskeren hævder, at Microsoft har håndteret tidligere sårbarhedsrapporter utilstrækkeligt og har åbent kritiseret virksomhedens sikkerhedsproces. Microsoft har til gengæld advaret om, at offentliggørelse af upatchede exploits skaber unødvendige risici for kunderne og giver angribere adgang til fungerende angrebskode, før forsvarsmekanismer er tilgængelige.
Konflikten har udløst debat i cybersikkerhedsbranchen. Nogle forskere mener, at offentligt pres tvinger leverandører til at reagere hurtigere, mens andre mener, at offentliggørelse af exploitkode før en patch foreligger, udsætter organisationer for større risiko.
Sikkerhedsbekymringerne vokser
Sårbarheder til privilegieeskalering spiller ofte en central rolle i flertrinsangreb. Trusselsaktører kombinerer dem ofte med phishingkampagner, stjålne legitimationsoplysninger eller sårbarheder til fjernadgang for at opnå fuld kontrol over systemer.
Denne risiko er særligt relevant, fordi flere værktøjer, som Nightmare-Eclipse tidligere har offentliggjort, allerede er dukket op i virkelige indbrudsforsøg. Sikkerhedsforskere har observeret angribere bruge flere af de offentligt tilgængelige exploits under aktive undersøgelser.
Det viser, hvor hurtigt ondsindede aktører kan tage proof-of-concept-kode i brug, når den bliver offentligt tilgængelig.
Hvad organisationer bør gøre
Organisationer bør følge Microsofts sikkerhedsvejledninger for opdateringer relateret til RoguePlanet og installere sikkerhedsrettelser, så snart de bliver tilgængelige.
Sikkerhedsteams bør også gennemgå alarmer fra endpoint-beskyttelse, undersøge mistænkelig privilegieeskalering og sikre, at brugere kun har de rettigheder, der er nødvendige for deres arbejdsopgaver.
Stærke adgangskontroller, endpoint-detekteringsværktøjer og multifaktorgodkendelse kan reducere konsekvenserne af angreb, der bygger på lokal privilegieeskalering.
Konklusion
RoguePlanet fortsætter rækken af højt profilerede offentliggørelser fra Nightmare-Eclipse, som har lagt øget pres på Microsoft. Selvom exploitet kræver lokal adgang, gør muligheden for at opnå SYSTEM-rettigheder sårbarheden til et alvorligt sikkerhedsproblem. Indtil Microsoft udsender en patch, bør organisationer være opmærksomme på tegn på misbrug og overvåge deres Windows-miljøer nøje for usædvanlig aktivitet relateret til privilegieeskalering.
0 svar til “RoguePlanet-nuldagssårbarhed afslører ny risiko i Windows Defender”