Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Un tablet nero è adagiato a terra su un terreno scuro, arido e crepato, circondato da piccoli frammenti di vetro. Lo schermo del dispositivo è completamente frantumato, con una fitta ragnatela di crepe che si dirama dal centro verso i bordi. Nonostante i gravi danni alla superficie, sul display spento è chiaramente visibile il logo blu di Microsoft Defender: uno scudo diviso in quattro sezioni che richiama la tipica forma della finestra di Windows. Accanto allo scudo compare la scritta testuale "Microsoft Defender" in un carattere lineare blu. L'atmosfera generale è cupa, drammatica e fortemente contrastata.

RoguePlanet mette in ginocchio Microsoft Defender! Ed è LPE per Windows

12 Giugno 2026 15:34
In sintesi

Nightmare Eclipse ha scoperto una nuova vulnerabilità 0-day in Microsoft Defender chiamata RoguePlanet, che consente l'escalation dei privilegi su sistemi Windows aggiornati. L'exploit è stato confermato da analisti indipendenti e sfrutta una condizione di gara nel software antivirus. Inizialmente più pericolosa, la vulnerabilità è stata mitigata parzialmente da Microsoft, ma rimane un rischio significativo.

Ci risiamo e sono ancora guai per microsoft. Il ricercatore Nightmare Eclipse (alias Chaotic Eclipse) continua il suo conflitto pubblico con il grande big del software. Poche ore dopo il rilascio delle patch di giugno, ha rivelato un’altra vulnerabilità 0day, questa volta in Microsoft Defender, chiamata RoguePlanet.

Secondo lo specialista, la vulnerabilità consente di ottenere privilegi a livello di SYSTEM e funziona anche su macchine completamente aggiornate con Windows 10 e Windows 11.

Ad aprile, Nightmare Eclipse ha promesso che avrebbe continuato a pubblicare exploit per le vulnerabilità 0-day dopo le patch rilasciata dagli ingegneri Microsoft e intendeva rendere ogni pubblicazione successiva “ancora più divertente”.

Advertising

Il ricercatore mantiene la parola data, dal momento che le informazioni sul nuovo problema e sul relativo exploit sono state pubblicate poche ore dopo la pubblicazione del Patch Tuesday di giugno, durante il quale gli specialisti Microsoft hanno corretto diverse vulnerabilità scoperte da Nightmare Eclipse in precedenza come GreenPlasma, MiniPlasma e YellowKey.

Exploit RoguePlanet

Come spiega lo specialista nel suo blog, il problema di RoguePlanet è legato al verificarsi di una race condition in Defender. Lìexploit non è affidabile al 100% in quanto saranno necessari diversi tentativi. Se l’attacco ha successo, l’aggressore ottiene i privilegi di SYSTEM e la capacità di eseguire codice arbitrario.

Una verifica indipendente del bug è già stata effettuata dagli analisti di ThreatLocker. Hanno confermato che l’exploit Nightmare Eclipse funziona contro i sistemi Windows 11 dotati di patch all’ultimo grido e hanno pubblicato una dimostrazione dell’attacco. Anche il noto esperto di sicurezza informatica Will Dormann ha riferito di aver riprodotto con successo il problema.

Secondo Nightmare Eclipse, RoguePlanet era inizialmente un problema più pericoloso che poteva portare all’esecuzione di codice in modalità remota. Inizialmente, l’attacco ha sfruttato le peculiarità dell’elaborazione dei file su risorse SMB remote e ha permesso di forzare Defender a sovrascrivere i propri file.


Advertising

“Per fare ciò, l’aggressore doveva forzare la vittima ad aprire un file .vhd(x) su un server SMB remoto. Lo sfruttamento riuscito ha comportato la sovrascrittura dei file di Defender e apparentemente il risultato finale è stata l’esecuzione di codice remoto”, scrive Nightmare Eclipse.

Tuttavia, a metà maggio, gli ingegneri Microsoft hanno silenziosamente rafforzato la sicurezza di Defender e modificato l’API mpengine!SysIO*, chiudendo uno dei meccanismi utilizzati nell’attacco.

Di conseguenza, il ricercatore ha dovuto praticamente riscrivere l’exploit da zero e RoguePlanet facendolo diventare meno pericoloso. Sottolinea che non è noto se RoguePlanet possa essere trasformato da una escalation di privilegi locali in un RCE a tutti gli effetti.

La divulgazione di informazioni su RoguePlanet e la pubblicazione dell’exploit è diventata l’ultimo episodio del lungo conflitto tra Nightmare Eclipse e Microsoft.

Ricordiamo che negli ultimi mesi il ricercatore ha divulgato exploit online per sei vulnerabilità 0-day in Windows. Parliamo di BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma (CVE-2026-45586) e MiniPlasma (CVE-2020-17103).

Alcuni di questi bug di sicurezza sono stati successivamente sfruttati attivamente dagli aggressori.

Nightmare Eclipse afferma di fare tutto questo come protesta contro il modo in cui gli specialisti del Microsoft Security Response Center (MSRC) che trattano gli specialisti della sicurezza informatica.

Secondo lui, Microsoft lo ha minacciato e ha promesso di “rovinargli la vita”, e la società ha anche ignorato le sue segnalazioni di vulnerabilità e gli ha negato l’accesso al suo account Microsoft Security Response Center (MSRC) oltre a rimuoverlo dai repository di exploit quali GitHub e GitLab. Pertanto, il ricercatore ora pubblica i suoi exploit, direttamente nella propria infrastruttura.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response