Unmittelbar nach der Veröffentlichung der Updates für den gestrigen Juni-Patchday hat ein Sicherheitsforscher, der sich Nightmare Eclipse nennt, einen neuen Zero-Day-Exploit gemeldet und diesen RoguePlanet benannt. Das Problem betrifft voll aktualisierte Systeme mit Windows 10 und Windows 11 und erlaubt es Angreifern, über eine Race-Condition-Schwachstelle in
Microsoft Defender Befehle mit Systemprivilegien einzuschleusen. Nightmare Eclipse hat den Proof-of-Concept-Exploit in einem selbstgehosteten Git-Repo veröffentlicht,
wie "Bleeping Computer" berichtet – bisher auf Github publizierte Exploits seien von Microsoft jeweils wieder entfernt worden. Den Proof of Concept hat der Researcher an offiziellen und Canary Builds von Windows 11 und an Windows 10 geteste
Inzwischen hat das Cybersecurity-Unternehmen Threatlocker die Schwachstelle anhand eigener Tests bestätigt und sagt dazu: "Unsere erste Analyse bestätigt, dass der RoguePlanet-Exploit umsetzbar ist und wie beschrieben funktioniert. Unternehmen, die eine Anwendungs-Whitelist einsetzen, können die Ausführung des Exploits verhindern und so einen wirksamen Schutz vor diesem Angriff bieten." Das passt ins Bild, denn Nightmare Exclipse hat in den letzten Monaten eine ganze Reihe von Windows-Zero-Days veröffentlicht und mit farbenfrohen Bezeichnungen wie BlueHammer, RedSun, Green Plasma und YellowKey benannt. GreenPlasma und YellowKey hat Microsoft zum Juni-Patchday behoben. Allgemein zeigt sich Microsoft gegenüber solchen Veröffentlichungen allerdings abweisend: Man werde mit den Strafverfolgungsbehörden zusammenarbeiten, wenn jemand "böswillige Handlungen, die unseren Kunden tatsächlichen Schaden zufügen" tätige ("Swiss IT Magazine"
berichtete).
(ubi)
