Nightmare Eclipse ha scoperto una nuova vulnerabilità 0-day in Microsoft Defender chiamata RoguePlanet, che consente l'escalation dei privilegi su sistemi Windows aggiornati. L'exploit è stato confermato da analisti indipendenti e sfrutta una condizione di gara nel software antivirus. Inizialmente più pericolosa, la vulnerabilità è stata mitigata parzialmente da Microsoft, ma rimane un rischio significativo.
Ci risiamo e sono ancora guai per microsoft. Il ricercatore Nightmare Eclipse (alias Chaotic Eclipse) continua il suo conflitto pubblico con il grande big del software. Poche ore dopo il rilascio delle patch di giugno, ha rivelato un’altra vulnerabilità 0day, questa volta in Microsoft Defender, chiamata RoguePlanet.
Secondo lo specialista, la vulnerabilità consente di ottenere privilegi a livello di SYSTEM e funziona anche su macchine completamente aggiornate con Windows 10 e Windows 11.
Ad aprile, Nightmare Eclipse ha promesso che avrebbe continuato a pubblicare exploit per le vulnerabilità 0-day dopo le patch rilasciata dagli ingegneri Microsoft e intendeva rendere ogni pubblicazione successiva “ancora più divertente”.
Advertising
Il ricercatore mantiene la parola data, dal momento che le informazioni sul nuovo problema e sul relativo exploit sono state pubblicate poche ore dopo la pubblicazione del Patch Tuesday di giugno, durante il quale gli specialisti Microsoft hanno corretto diverse vulnerabilità scoperte da Nightmare Eclipse in precedenza come GreenPlasma, MiniPlasma e YellowKey.
Come spiega lo specialista nel suo blog, il problema di RoguePlanet è legato al verificarsi di una race condition in Defender. Lìexploit non è affidabile al 100% in quanto saranno necessari diversi tentativi. Se l’attacco ha successo, l’aggressore ottiene i privilegi di SYSTEM e la capacità di eseguire codice arbitrario.
Una verifica indipendente del bug è già stata effettuata dagli analisti di ThreatLocker. Hanno confermato che l’exploit Nightmare Eclipse funziona contro i sistemi Windows 11 dotati di patch all’ultimo grido e hanno pubblicato una dimostrazione dell’attacco. Anche il noto esperto di sicurezza informatica Will Dormann ha riferito di aver riprodotto con successo il problema.
Secondo Nightmare Eclipse, RoguePlanet era inizialmente un problema più pericoloso che poteva portare all’esecuzione di codice in modalità remota. Inizialmente, l’attacco ha sfruttato le peculiarità dell’elaborazione dei file su risorse SMB remote e ha permesso di forzare Defender a sovrascrivere i propri file.
Advertising
“Per fare ciò, l’aggressore doveva forzare la vittima ad aprire un file .vhd(x) su un server SMB remoto. Lo sfruttamento riuscito ha comportato la sovrascrittura dei file di Defender e apparentemente il risultato finale è stata l’esecuzione di codice remoto”, scrive Nightmare Eclipse.
Tuttavia, a metà maggio, gli ingegneri Microsoft hanno silenziosamente rafforzato la sicurezza di Defender e modificato l’API mpengine!SysIO*, chiudendo uno dei meccanismi utilizzati nell’attacco.
Di conseguenza, il ricercatore ha dovuto praticamente riscrivere l’exploit da zero e RoguePlanet facendolo diventare meno pericoloso. Sottolinea che non è noto se RoguePlanet possa essere trasformato da una escalation di privilegi locali in un RCE a tutti gli effetti.
La divulgazione di informazioni su RoguePlanet e la pubblicazione dell’exploit è diventata l’ultimo episodio del lungo conflitto tra Nightmare Eclipse e Microsoft.
Alcuni di questi bug di sicurezza sono stati successivamente sfruttati attivamente dagli aggressori.
Nightmare Eclipse afferma di fare tutto questo come protesta contro il modo in cui gli specialisti del Microsoft Security Response Center (MSRC) che trattano gli specialisti della sicurezza informatica.
Secondo lui, Microsoft lo ha minacciato e ha promesso di “rovinargli la vita”, e la società ha anche ignorato le sue segnalazioni di vulnerabilità e gli ha negato l’accesso al suo account Microsoft Security Response Center (MSRC) oltre a rimuoverlo dai repository di exploit quali GitHub e GitLab. Pertanto, il ricercatore ora pubblica i suoi exploit, direttamente nella propria infrastruttura.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza:Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.