Um pesquisador de segurança conhecido como Nightmare Eclipse divulgou, em 10 de junho de 2026, um exploit zero-day chamado RoguePlanet que explora uma condição de corrida no Microsoft Defender para obter privilégios de SYSTEM em sistemas Windows 10 e 11 totalmente atualizados, no mesmo dia em que a Microsoft corrigiu quase 200 vulnerabilidades em seu Patch Tuesday recorde.
Contexto do exploit RoguePlanet
O exploit RoguePlanet abusa de uma vulnerabilidade de condição de corrida (race condition) no mecanismo de verificação de arquivos do Microsoft Defender. Quando executado com sucesso, o código abre um prompt de comando com privilégios de SYSTEM, o nível mais alto de permissão no Windows, permitindo que um invasor execute ações arbitrárias no dispositivo comprometido.
O pesquisador Nightmare Eclipse, também identificado como Chaotic Eclipse, publicou o proof-of-concept (PoC) em um repositório Git autogerenciado após relatar que a Microsoft solicitou a remoção de publicações anteriores hospedadas no GitHub e no GitLab. A empresa de cibersegurança ThreatLocker confirmou à BleepingComputer que conseguiu reproduzir a falha em sistemas Windows 11 com a atualização KB5094126 instalada.
“Nosso teste inicial confirma que o exploit RoguePlanet é viável e funciona conforme descrito”, declarou Danny Jenkins, CEO da ThreatLocker. “Organizações que usam listas de permissão de aplicativos podem impedir a execução do exploit.”
De RCE a escalação local
Segundo o próprio pesquisador, o RoguePlanet foi originalmente desenvolvido como uma vulnerabilidade de execução remota de código (RCE). A falha inicial explorava a forma como o Defender manipula arquivos hospedados em compartilhamentos SMB remotos, especificamente arquivos .vhd(x). “No desenvolvimento inicial, foi confirmado que essa vulnerabilidade era uma execução remota de código”, escreveu Nightmare Eclipse em um post detalhado. “Exigia que o invasor convencesse a vítima a abrir um .vhd(x) em um servidor SMB remoto.”
A Microsoft, no entanto, corrigiu silenciosamente parte do vetor de ataque em meados de maio, ao endurecer a API “mpengine!SysIO*” no motor do Defender, bloqueando ataques de junction. O pesquisador precisou reescrever o exploit, e a versão publicada funciona como escalação de privilégios local (LPE). “Reescrever o RoguePlanet para torná-lo funcional novamente drenou minha alma”, relatou o pesquisador.
O especialista em segurança Will Dormann, em publicação no Mastodon, confirmou que o exploit funcionou na primeira tentativa em seus testes, embora o pesquisador admita que a taxa de sucesso varia entre máquinas por se tratar de uma condição de corrida.
Patch Tuesday recorde e CVEs críticos
A divulgação do RoguePlanet coincidiu com o maior Patch Tuesday já registrado pela Microsoft, com correções para quase 200 vulnerabilidades — das quais 32 foram classificadas como críticas. Seis zero-days foram tratados, sendo cinco divulgados publicamente e um explorado ativamente em ataques.
| CVE | Componente | Severidade | Status |
|---|---|---|---|
| CVE-2026-47281 | Microsoft Defender (RoguePlanet) | Crítica (9.6) | Sem patch |
| CVE-2026-42897 | Microsoft Exchange Server | Crítica | Exploração ativa |
| CVE-2026-45586 (GreenPlasma) | Windows CTFMON | Importante | Divulgado |
| CVE-2026-50507 (YellowKey) | Windows BitLocker | Importante | Divulgado |
| CVE-2026-44815 | DHCP Client Service | Crítica | Execução remota |
| CVE-2026-45657 | Windows Kernel TCP/IP | Crítica | Wormable |
Dustin Childs, do Zero Day Initiative da Trend Micro, destacou que o CVE-2026-45657, embora classificado pela Microsoft como “exploração menos provável”, é um bug wormable no kernel do Windows que permite execução de código sem interação do usuário. “Cada pesquisador e bug shop do planeta está revertendo esse patch agora tentando criar um exploit”, alertou Childs em análise publicada pela Help Net Security.
Confronto com a Microsoft
O RoguePlanet é o sexto zero-day divulgado por Nightmare Eclipse em uma campanha que o pesquisador descreve como retaliação contra a Microsoft. Segundo reportagem da The Hacker News, o pesquisador acusa a empresa de revogar seu acesso ao MSRC (Microsoft Security Response Center), não remunerar vulnerabilidades reportadas e humilhá-lo durante o processo de divulgação coordenada.
Em publicações criptograficamente assinadas, Nightmare Eclipse listou divulgações anteriores — BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) e RedSun (CVE-2026-41091) — todas direcionadas ao Microsoft Defender. A firma informa que todas as três foram posteriormente exploradas na natureza.
A Microsoft condenou as divulgações públicas no final de maio. “Divulgações não coordenadas nunca são justificáveis e colocam clientes em risco desnecessário”, declarou a empresa. O pesquisador Kevin Beaumont, no entanto, questionou a postura da empresa: “A Microsoft está usando sua propriedade do GitHub para proteger apenas seus próprios produtos.”
Quando consultada sobre o RoguePlanet, a Microsoft afirmou estar “ciente da vulnerabilidade reportada e investigando ativamente a validade” das alegações. O pesquisador já prometeu uma nova leva de exploits para 14 de julho, mesmo dia do próximo Patch Tuesday.
O que fazer agora
Enquanto a Microsoft não lança patch para o RoguePlanet, organizações devem adotar medidas de mitigação imediatas. A aplicação de listas de permissão de aplicativos (application allowlisting), como apontado pela ThreatLocker, bloqueia a execução do exploit. Soluções de EDR que monitoram comportamentos anômalos de escalação de privilégios também oferecem camada adicional de detecção.
Para as vulnerabilidades corrigidas no Patch Tuesday de junho, a prioridade são os CVEs com exploração ativa ou potencial wormable: CVE-2026-42897 (Exchange), CVE-2026-44815 (DHCP) e CVE-2026-45657 (Kernel TCP/IP). O patch do BitLocker (CVE-2026-50507) deve ser priorizado em dispositivos com acesso físico não controlado. Administradores devem verificar o valor de registro MaxRequestBytes em sistemas que usam HTTP.sys, conforme orientação da Help Net Security.
Com quase 200 CVEs em um único mês, Satnam Narang, engenheiro da Tenable, observou que a tendência deve se consolidar: “À medida que modelos de IA mais avançados se tornam disponíveis, um volume grande e crescente de patches pode se tornar a norma.”
Fontes e referências
- BleepingComputer — Microsoft Defender ‘RoguePlanet’ zero-day grants SYSTEM privileges
- The Hacker News — Microsoft Defender RoguePlanet Zero-Day Grants SYSTEM Access
- Help Net Security — Record Microsoft Patch Tuesday, fresh zero-day
- Threat-Modeling.com — CVE-2026-47281 Analysis
- ThreatLocker Blog — RoguePlanet Analysis