Foto: Microsoft
Sigurnosni istraživač koji se predstavlja kao Chaotic Eclipse, odnosno Nightmare-Eclipse, objavio je proof-of-concept exploit za još jedan zero-day propust u Microsoft Defenderu pod nazivom RoguePlanet. Prema navodima istraživača, exploit je riječ o race condition propustu i nije potpuno pouzdan, ali u nekim je slučajevima radio odmah, dok je na drugim uređajima bio znatno manje uspješan.
Ako se exploit uspješno pokrene, napad završava shellom s SYSTEM privilegijama, što napadaču daje mogućnost pokretanja proizvoljnog koda i izvođenja neovlaštenih radnji. Istraživač je naveo da je PoC testiran na računalima s Windowsom 11 i Windowsom 10 te s instaliranim ažuriranjima iz lipanjskog Patch Tuesdayja 2026., što znači da je, prema tim tvrdnjama, radio i na ažuriranim verzijama desktop sustava.
U sadašnjem obliku exploit ne radi na Windows Server instancama, jer standardni korisnici ne mogu montirati ISO sliku. Chaotic Eclipse je pritom rekao da su i Windows Server instalacije ranjive na taj propust, ali da bi exploit za njih morao biti redizajniran. U objavi je dodao i da je izrada ovog PoC-a bila izrazito zahtjevna te da je do kraja svibnja razvijena puna verzija demonstracije napada.
RoguePlanet je najnoviji u nizu propusta koje je Chaotic Eclipse posljednjih mjeseci javno otkrivao. Prema navodima u objavama, ti su nesukladni i neusklađeni načini objave dio odmazde nakon navodnog sloma komunikacije između istraživača i Microsofta. Istraživač je na svom Bloggeru, u kriptografski potpisanim objavama, izrazio nezadovoljstvo načinom na koji je Microsoft vodio postupak prijave ranjivosti te tvrdio da mu je tvrtka ukinula pristup MSRC računu preko kojega istraživači prijavljuju sigurnosne propuste.
Chaotic Eclipse je također optužio Microsoft da ga je ponizio, odbacio njegove prijave, nije ga nadoknadio za pronađene ranjivosti i o njemu širio neistinite tvrdnje. Krajem prošlog mjeseca Microsoft je javno osudio objave ranjivosti, poručivši da takvi istupi “nikada nisu opravdani” i da korisnike izlažu “nepotrebnom riziku”. Usto, navodi se da su sve tri ranije spomenute ranjivosti u Defenderu od tada iskorištene u stvarnim napadima.
Javni sukob rezultirao je i uklanjanjem njegovih GitHub i GitLab računa. Sigurnosni istraživač Kevin Beaumont u objavi na Mastodonu rekao je da Microsoft pokušava zloupotrijebiti vlasništvo nad GitHubom kako bi zaštitio vlastite proizvode te svoje veze s tijelima za provedbu zakona kako bi objavljivanje informacija o ranjivostima u vlastitim proizvodima prikazao kao kriminalno ponašanje. Microsoft je pak na X-u poručio da nema namjeru poduzimati pravne korake protiv osoba koje provode ili objavljuju sigurnosna istraživanja, ali i da će, ako netko krši zakon i sudjeluje u zlonamjernim aktivnostima koje uzrokuju stvarnu štetu korisnicima, surađivati s policijom i drugim nadležnim tijelima prema potrebi. Tvrtka je pritom naglasila da ostaje predana transparentnosti, jasnoj komunikaciji i profesionalnosti te da i dalje snažno vjeruje u Coordinated Vulnerability Disclosure kao temelj zaštite korisnika i poboljšanja proizvoda.
Vezane vijesti
