Неутомимый охотник за багами Microsoft опубликовал новые zero-day эксплойты RoguePlanet и GreatXML

С момента своего появления на сцене кибербезопасности Nightmare-Eclipse (также известный как Chaotic-Eclipse) стал, вероятно, самой большой занозой в боку Центра реагирования на угрозы безопасности Microsoft. Затянувшаяся сага между Редмондом и недовольным экспертом по кибербезопасности получила на этой неделе новое развитие благодаря публикации эксплойтов RoguePlanet и GreatXML.

RoguePlanet, вероятно, самый опасный из них, так как он использует еще одну уязвимость в Windows Defender для получения привилегий доступа уровня SYSTEM, позволяя атакующему выполнять команды с уровнем привилегий даже выше, чем у стандартного администратора. Практический механизм прост: достаточно обманом заставить пользователя запустить скрипт, и этот скрипт получит полный доступ к машине, предоставляя возможность выкачать все данные, установить вредоносное ПО для эксфильтрации или выполнять любые другие вредоносные действия.

Стоит отметить, что RoguePlanet зависит от состояния гонки, по-видимому, между монтированием ISO и Volume Shadow Copy, что означает, что он основан на времени, и точные условия, при которых он может быть активирован на машине жертвы, не гарантированы. Сам Eclipse утверждает, что, хотя на некоторых установках у них был 100% успех, эксплойт «с трудом работал на других».

Они также отмечают, что RoguePlanet работает на полностью пропатченной системе Windows, включающей недавно выпущенное обновление за июнь 2026 года, и они вполне уверены, что Windows Server также уязвим, что требует переработки кода proof-of-concept для обхода того факта, что пользователи серверных редакций не могут монтировать ISO по умолчанию.

Что касается GreatXML, то это еще один метод обхода BitLocker. Он гораздо менее страшен, чем YellowKey, так как условия для его применения гораздо строже, но это все равно неприятный момент для Microsoft. Для запуска обхода атакующему необходимо записать специально созданный файл «unattend.xml» и каталог «Recovery» в раздел восстановления Windows. Затем, если запущено или ранее запускалось автономное сканирование Windows Defender, перезагрузка в среду восстановления откроет защищенный BitLocker-ом диск без проблем.

Требования довольно высоки для атакующего, но обоснованность подхода все еще поднимает вопросы о том, какие похожие на бэкдоры поведения все еще присутствуют в BitLocker и среде восстановления Windows (WinRE). Eclipse считает, что, возможно, удастся запустить автономное сканирование Defender без входа в систему, но на данный момент это не точно. Тем не менее, не будет удивительным, если завтра они придумают способ сделать это.

Учитывая, что конфликт Eclipse с Microsoft привел к блокировке его учетной записи на GitHub, исследователь перенес свои proof-of-concept на Church of Malware — относительно свободное сообщество и репозиторий кода для эксплойтов. Забавно, однако, что их вторичная учетная запись GitHub все еще активна.

Ранее компания также угрожала Eclipse судебными исками, но затем отступила. Со своей стороны, Eclipse ранее угрожал массово раскрыть zero-day уязвимости Windows 14 июля. Однако они также смягчили свою позицию, заявив, что написание RoguePlanet заняло больше времени, чем ожидалось, и они, возможно, возьмут перерыв, так что 14 июля, похоже, не станет «Днем Конца Windows».

Источник: Tomshardware.com