En säkerhetsforskare känd som Nightmare-Eclipse har offentliggjort en ny nolldagssårbarhet i Windows Defender med namnet RoguePlanet. Exploiten utnyttjar en brist i Microsofts antivirusplattform och gör det möjligt för angripare att höja sina rättigheter till SYSTEM-nivå. Publiceringen utgör ytterligare ett kapitel i den pågående konflikten mellan forskaren och Microsoft, som redan har präglats av flera offentliga nolldagssläpp under året.
RoguePlanet riktar in sig på Windows Defender
RoguePlanet är en exploit för lokal privilegieeskalering som utnyttjar ett race condition-fel i Windows Defender. Enligt den publicerade proof-of-concept-koden kan en vanlig användare manipulera Defenders filoperationer och få SYSTEM-behörighet på en sårbar dator.
SYSTEM-behörighet ger den högsta åtkomstnivån i Windows. En angripare som lyckas utnyttja sårbarheten kan köra kommandon, installera programvara, komma åt känslig information och ta full kontroll över den drabbade enheten.
Exploiten publicerades den 10 juni, samtidigt som Microsoft släppte sina månatliga Patch Tuesday-uppdateringar. Vid publiceringstillfället hade Microsoft ännu inte släppt någon säkerhetsuppdatering för sårbarheten.
Senaste utvecklingen i en pågående konflikt
Nightmare-Eclipse har fått stor uppmärksamhet under 2026 efter att upprepade gånger ha publicerat nolldagssårbarheter i Windows utan att följa Microsofts process för samordnad sårbarhetsrapportering.
Tidigare publiceringar har riktat sig mot Windows Defender, BitLocker och andra centrala Windows-komponenter. Flera av dessa sårbarheter har gjort det möjligt att höja privilegier eller kringgå säkerhetsfunktioner på fullt uppdaterade system.
Forskaren hävdar att Microsoft har hanterat tidigare sårbarhetsrapporter bristfälligt och har öppet kritiserat företagets process för säkerhetsåtgärder. Microsoft har å sin sida varnat för att offentliggörandet av opatchade exploiter skapar onödiga risker för kunder och ger angripare tillgång till fungerande attackkod innan skyddsåtgärder finns på plats.
Konflikten har lett till en bred debatt inom cybersäkerhetsbranschen. Vissa forskare anser att offentlig press tvingar leverantörer att agera snabbare, medan andra menar att publicering av exploitkod före en patch ökar riskerna för organisationer.
Säkerhetsoron ökar
Sårbarheter för privilegieeskalering spelar ofta en viktig roll i flerstegsattacker. Angripare kombinerar dem ofta med nätfiskekampanjer, stulna inloggningsuppgifter eller sårbarheter för fjärråtkomst för att ta full kontroll över system.
Den risken är särskilt relevant eftersom flera verktyg som tidigare publicerats av Nightmare-Eclipse redan har dykt upp i verkliga intrångsförsök. Säkerhetsforskare har tidigare observerat att angripare använt flera av de offentligt tillgängliga exploiterna under pågående utredningar.
Det visar hur snabbt illvilliga aktörer kan ta till sig proof-of-concept-kod som blir offentligt tillgänglig.
Vad organisationer bör göra
Organisationer bör följa Microsofts säkerhetsråd för uppdateringar kopplade till RoguePlanet och installera eventuella säkerhetsfixar så snart de blir tillgängliga.
Säkerhetsteam bör också granska larm från endpoint-skydd, undersöka misstänkt privilegieeskalering och säkerställa att användare endast har de behörigheter som krävs för sina arbetsuppgifter.
Starka åtkomstkontroller, verktyg för endpoint-detektering och multifaktorautentisering kan minska effekten av attacker som bygger på lokal privilegieeskalering.
Slutsats
RoguePlanet fortsätter en rad uppmärksammade offentliggöranden från Nightmare-Eclipse som har satt ökad press på Microsoft. Även om exploiten kräver lokal åtkomst gör möjligheten att erhålla SYSTEM-behörighet sårbarheten till ett allvarligt säkerhetsproblem. Tills Microsoft släpper en patch bör organisationer vara vaksamma på tecken på missbruk och noggrant övervaka sina Windows-miljöer efter ovanlig aktivitet kopplad till privilegieeskalering.
0 svar till ”RoguePlanet-nolldagssårbarhet avslöjar ny risk i Windows Defender”