Pesquisador de Segurança Revela Nova Vulnerabilidade Zero-Day no Microsoft Defender: RoguePlanet
O pesquisador de segurança Nightmare Eclipse divulgou uma nova vulnerabilidade zero-day, nomeada RoguePlanet, no Microsoft Defender. A falha permite a escalonamento de privilégios para nível SYSTEM, mesmo em sistemas totalmente atualizados.
MundiX News·11 de junho de 2026·7 min de leitura·👁 8 views
O pesquisador de segurança conhecido como Nightmare Eclipse (também chamado de Chaotic Eclipse) continua seu conflito público com a Microsoft. Poucas horas após a liberação dos patches de junho, ele revelou mais uma vulnerabilidade zero-day no Microsoft Defender, batizada de RoguePlanet. Segundo o especialista, a vulnerabilidade permite a obtenção de privilégios de nível SYSTEM e funciona mesmo em máquinas totalmente atualizadas com Windows 10 e Windows 11.
Em abril, Nightmare Eclipse prometeu que continuaria a publicar exploits para vulnerabilidades zero-day após cada patch lançado pelos engenheiros da Microsoft, com a intenção de tornar cada publicação subsequente "ainda mais divertida". O pesquisador está cumprindo sua palavra, pois as informações sobre o novo problema e um exploit para ele foram publicados poucas horas após o lançamento do "Patch Tuesday" de junho, no qual os especialistas da Microsoft corrigiram várias vulnerabilidades previamente reveladas por Nightmare Eclipse: GreenPlasma, MiniPlasma e YellowKey.
Conforme explicado pelo especialista em seu blog, o problema RoguePlanet está relacionado a uma condição de corrida (race condition) no Defender. O exploit para a vulnerabilidade não é 100% confiável: em alguns sistemas, ele funciona de forma estável, mas em outros, pode exigir várias tentativas. Em caso de ataque bem-sucedido, o invasor obtém privilégios de SYSTEM e a capacidade de executar código arbitrário. A análise independente do bug já foi realizada por analistas da ThreatLocker, que confirmaram que o exploit de Nightmare Eclipse funciona contra sistemas Windows 11 totalmente atualizados e publicaram uma demonstração do ataque. O renomado especialista em segurança Will Dormann também relatou ter reproduzido com sucesso o problema.
De acordo com Nightmare Eclipse, RoguePlanet era originalmente um problema mais perigoso, capaz de levar à execução remota de código (RCE). Inicialmente, o ataque explorava as peculiaridades do tratamento de arquivos em recursos SMB remotos e permitia que o Defender sobrescrevesse seus próprios arquivos. "Para isso, o invasor precisava forçar a vítima a abrir um arquivo .vhd(x) em um servidor SMB remoto. A exploração bem-sucedida resultava na sobrescrita dos próprios arquivos do Defender e, obviamente, o resultado final era a execução remota de código", escreveu Nightmare Eclipse. No entanto, em meados de maio, os engenheiros da Microsoft reforçaram discretamente as defesas do Defender e alteraram a API mpengine!SysIO*, fechando um dos mecanismos utilizados no ataque. Como resultado, o pesquisador teve que reescrever o exploit quase do zero, e RoguePlanet se tornou menos perigoso. Ele observa que não se sabe se é possível transformar RoguePlanet de um problema de escalonamento de privilégios local em um RCE completo.
A divulgação de informações sobre RoguePlanet e a publicação do exploit são mais um episódio do prolongado conflito entre Nightmare Eclipse e a Microsoft. Vale lembrar que, nos últimos meses, o pesquisador revelou e disponibilizou exploits para seis vulnerabilidades zero-day no Windows: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma (CVE-2026-45586) e MiniPlasma (CVE-2020-17103). Algumas dessas falhas começaram a ser ativamente exploradas por criminosos posteriormente.
Nightmare Eclipse afirma que está agindo em protesto contra a forma como o Microsoft Security Response Center (MSRC) trata os profissionais de segurança. Segundo ele, a Microsoft o ameaçou e prometeu "arruinar sua vida", além de ignorar seus relatórios de vulnerabilidades, revogar seu acesso à conta do MSRC e conseguir a remoção de seus repositórios de exploits do GitHub e GitLab. Por isso, o pesquisador agora publica seus materiais em sua própria infraestrutura. Representantes da Microsoft condenaram veementemente as ações de Nightmare Eclipse e a prática de publicar exploits para vulnerabilidades não corrigidas em geral. A empresa declarou que a publicação de exploits para falhas ainda não corrigidas "não pode ser justificada de forma alguma" e mencionou especificamente a unidade Digital Crimes Unit, responsável pela investigação de crimes cibernéticos e cooperação com autoridades policiais em todo o mundo. Embora não tenham havido ameaças diretas ao pesquisador, muitos membros da comunidade de segurança interpretaram isso como uma sugestão de possíveis medidas legais e uma ameaça velada contra Nightmare Eclipse. Após uma onda de críticas, os representantes da empresa foram forçados a suavizar sua retórica e emitir uma nova declaração, enfatizando que a Microsoft não pretende perseguir especialistas em pesquisa de segurança.
Após a publicação dos dados sobre o problema RoguePlanet, a Microsoft declarou à imprensa que já está analisando as informações sobre a nova vulnerabilidade. "Estamos cientes dos relatos sobre esta vulnerabilidade e, no momento, estamos verificando a veracidade dessas afirmações e se os cenários de exploração descritos podem ser aplicados na prática. Continuamos a investigação e, se necessário, emitiremos atualizações para proteger os usuários o mais rápido possível", afirmaram na Microsoft.
O pesquisador de segurança conhecido como Nightmare Eclipse (também chamado de Chaotic Eclipse) continua seu conflito público com a Microsoft. Poucas horas após a liberação dos patches de junho, ele revelou mais uma vulnerabilidade zero-day no Microsoft Defender, batizada de RoguePlanet. Segundo o especialista, a vulnerabilidade permite a obtenção de privilégios de nível SYSTEM e funciona mesmo em máquinas totalmente atualizadas com Windows 10 e Windows 11.
Em abril, Nightmare Eclipse prometeu que continuaria a publicar exploits para vulnerabilidades zero-day após cada patch lançado pelos engenheiros da Microsoft, com a intenção de tornar cada publicação subsequente "ainda mais divertida". O pesquisador está cumprindo sua palavra, pois as informações sobre o novo problema e um exploit para ele foram publicados poucas horas após o lançamento do "Patch Tuesday" de junho, no qual os especialistas da Microsoft corrigiram várias vulnerabilidades previamente reveladas por Nightmare Eclipse: GreenPlasma, MiniPlasma e YellowKey.
Conforme explicado pelo especialista em seu blog, o problema RoguePlanet está relacionado a uma condição de corrida (race condition) no Defender. O exploit para a vulnerabilidade não é 100% confiável: em alguns sistemas, ele funciona de forma estável, mas em outros, pode exigir várias tentativas. Em caso de ataque bem-sucedido, o invasor obtém privilégios de SYSTEM e a capacidade de executar código arbitrário. A análise independente do bug já foi realizada por analistas da ThreatLocker, que confirmaram que o exploit de Nightmare Eclipse funciona contra sistemas Windows 11 totalmente atualizados e publicaram uma demonstração do ataque. O renomado especialista em segurança Will Dormann também relatou ter reproduzido com sucesso o problema.
De acordo com Nightmare Eclipse, RoguePlanet era originalmente um problema mais perigoso, capaz de levar à execução remota de código (RCE). Inicialmente, o ataque explorava as peculiaridades do tratamento de arquivos em recursos SMB remotos e permitia que o Defender sobrescrevesse seus próprios arquivos. "Para isso, o invasor precisava forçar a vítima a abrir um arquivo .vhd(x) em um servidor SMB remoto. A exploração bem-sucedida resultava na sobrescrita dos próprios arquivos do Defender e, obviamente, o resultado final era a execução remota de código", escreveu Nightmare Eclipse. No entanto, em meados de maio, os engenheiros da Microsoft reforçaram discretamente as defesas do Defender e alteraram a API mpengine!SysIO*, fechando um dos mecanismos utilizados no ataque. Como resultado, o pesquisador teve que reescrever o exploit quase do zero, e RoguePlanet se tornou menos perigoso. Ele observa que não se sabe se é possível transformar RoguePlanet de um problema de escalonamento de privilégios local em um RCE completo.
A divulgação de informações sobre RoguePlanet e a publicação do exploit são mais um episódio do prolongado conflito entre Nightmare Eclipse e a Microsoft. Vale lembrar que, nos últimos meses, o pesquisador revelou e disponibilizou exploits para seis vulnerabilidades zero-day no Windows: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma (CVE-2026-45586) e MiniPlasma (CVE-2020-17103). Algumas dessas falhas começaram a ser ativamente exploradas por criminosos posteriormente.
Nightmare Eclipse afirma que está agindo em protesto contra a forma como o Microsoft Security Response Center (MSRC) trata os profissionais de segurança. Segundo ele, a Microsoft o ameaçou e prometeu "arruinar sua vida", além de ignorar seus relatórios de vulnerabilidades, revogar seu acesso à conta do MSRC e conseguir a remoção de seus repositórios de exploits do GitHub e GitLab. Por isso, o pesquisador agora publica seus materiais em sua própria infraestrutura. Representantes da Microsoft condenaram veementemente as ações de Nightmare Eclipse e a prática de publicar exploits para vulnerabilidades não corrigidas em geral. A empresa declarou que a publicação de exploits para falhas ainda não corrigidas "não pode ser justificada de forma alguma" e mencionou especificamente a unidade Digital Crimes Unit, responsável pela investigação de crimes cibernéticos e cooperação com autoridades policiais em todo o mundo. Embora não tenham havido ameaças diretas ao pesquisador, muitos membros da comunidade de segurança interpretaram isso como uma sugestão de possíveis medidas legais e uma ameaça velada contra Nightmare Eclipse. Após uma onda de críticas, os representantes da empresa foram forçados a suavizar sua retórica e emitir uma nova declaração, enfatizando que a Microsoft não pretende perseguir especialistas em pesquisa de segurança.
Após a publicação dos dados sobre o problema RoguePlanet, a Microsoft declarou à imprensa que já está analisando as informações sobre a nova vulnerabilidade. "Estamos cientes dos relatos sobre esta vulnerabilidade e, no momento, estamos verificando a veracidade dessas afirmações e se os cenários de exploração descritos podem ser aplicados na prática. Continuamos a investigação e, se necessário, emitiremos atualizações para proteger os usuários o mais rápido possível", afirmaram na Microsoft.
