Давнее противостояние между Microsoft и исследователем безопасности Nightmare Eclipse вступило в новую фазу.
Eclipse, который последние несколько месяцев публично обнародовал необновленные уязвимости Windows, споря с Microsoft о практиках раскрытия уязвимостей, опубликовал эксплойт-код для новой уязвимости нулевого дня под названием RoguePlanet.
Исследователь заявил, что его эксплойт использует проблему состояния гонки, затрагивающую Microsoft Defender, предоставляя атакующим шанс на успех, близкий к стопроцентному, что потенциально может обеспечить привилегии уровня SYSTEM даже в только что обновленных системах Windows.
Как и ранее, эксплойт появился сразу после того, как Microsoft выпустила свои июньские исправления 2026 года (Patch Tuesday), в рамках которых компания выпустила исправления для более чем 200 уязвимостей безопасности, включая 32 критические. «Время выдает их: MiniPlasma был выпущен 13 мая 2026 года — ровно через день после цикла Patch Tuesday Microsoft в мае, что гарантирует, что у защитников не будет официального исправления от вендора в течение нескольких недель», — заявил Агнидипта Саркар, главный евангелист ColorTokens, о предыдущем раскрытии Eclipse под названием «MiniPlasma» уязвимости.
Эксплойт был размещен в новом репозитории GitHub под названием «MSNightmare», что, несомненно, является намеком на Microsoft, после того как GitHub (принадлежащий Microsoft) недавно удалил оригинальные репозитории Eclipse. Сообщается, что несколько ранних раскрытий Eclipse были включены в реальные атаки вскоре после того, как стал доступен код эксплойта, что вызвало предупреждения со стороны Microsoft и множества поставщиков решений по безопасности.
Ошибка позволяет выполнять код через доступ SYSTEM
В посте в блоге от 9 июня под названием «RoguePlanet, a quick history» Eclipse написал о первоначальной итерации бага в Windows Defender. Хотя технические подробности остаются скудными, в блоге упоминалось, что это связано с тем, что жертва открывает «.vhd(x) на удаленном SMB-сервере».
В описании пояснялось, что это приводит к «перезаписи Defender собственных файлов, и, очевидно, конечным результатом является RCE (удаленное выполнение кода)». Грубая интерпретация описания заключается в том, что ошибка позволяет выполнять вредоносные метаданные из специально созданного образа виртуального жесткого диска (.vhd), хранящегося на удаленном сервере Server Message Block (SMB).
Эксплойт PoC Eclipse в конечном итоге создает оболочку SYSTEM, позволяя потенциальному злоумышленнику выполнять произвольный код.
Обновление Defender в середине мая, по сообщениям, закрыло первоначальный путь атаки, описанный Eclipse, сделав «атаки с использованием соединений бесполезными», что заставило их переписать RoguePlanet для обхода исправления. Текущая версия эксплойта предположительно работает против Windows 11 (официальный канал + Canary) и Windows 10 с установленным исправлением за июнь 2026 года.
Однако код PoC оказался неэффективным против установок Windows Server, поскольку стандартные пользователи «не могут монтировать ISO-образ». Хотя Eclipse был «слишком истощен», чтобы переделать эксплойт для этого исключения, они уверены, что эксплойт возможен.
Противостояние, стоящее за уязвимостями
Недавно Microsoft удаляла аккаунты Eclipse в GitHub, а также заблокировала им доступ к Microsoft Security Response Center (MSRC). После блокировки GitLab также приостановил вторичные зеркала исследователя.
В посте в блоге от 27 мая Microsoft раскритиковала отсутствие скоординированного раскрытия уязвимостей и пригрозила судебным иском, заявив, что публичные раскрытия помогли злоумышленникам и привлекли подразделение по борьбе с цифровыми преступлениями, координирующее работу с правоохранительными органами.
«Уязвимости, известные как RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma и MiniPlasma, не были раскрыты ответственно», — написала компания об уязвимостях, раскрытых Eclipse. «Нескоординированные раскрытия, которые передают код доказательства концепции (proof-of-concept) для необновленных уязвимостей в руки злоумышленников, никогда не могут быть оправданы и имеют реальные последствия».
Аналитик по кибербезопасности Кевин Бьюмонт назвал ответ Microsoft «собственным пожаром из мусорного бака». Пиша о предыдущем исследователе под псевдонимом «SandboxEscaper», который аналогичным образом раскрывал баги Microsoft и публиковал коды эксплойтов, Бьюмонт указал на прецедент Microsoft по найму таких исследователей в 2019 году.
«Я хочу сказать, что Microsoft очень публично наняла кого-то за то же самое, что последний блог Microsoft называет преступным поведением», — сказал Бьюмонт.
Microsoft не сразу ответила на запрос CSO о комментарии.
Eclipse объявил о своем возвращении на GitHub 9 июня. «Да, это снова GitHub. Microsoft забыла, что даже если они забанили мои аккаунты в GitLab и GitHub, они не могут удалить мой код. Как только он опубликован, его нельзя убрать».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
