RoguePlanet
A RoguePlanet egy nyilvánosan közzétett, jelenleg még nem javított Windows helyi jogosultságkiterjesztési zero-day exploit, amely a Microsoft Defender egyik race condition alapuló hibáját használja ki. A sikeres kihasználás eredményeként egy normál felhasználói jogosultságú folyamat SYSTEM szintű hozzáférést szerezhet teljesen frissített Windows 10 és Windows 11 rendszereken is.
Az exploitot a Chaotic Eclipse / Nightmare Eclipse néven ismert kutató publikálta, aki az elmúlt hónapokban több Microsoft zero-day sérülékenységet is nyilvánosságra hozott. A RoguePlanet a kutató szerint a Defender vizsgálati és fertőtlenítési folyamatának manipulálásával működik, és különböző NTFS-, reparse point- és fájlkezelési technikákat használ a jogosultságemeléshez.
A publikált PoC nem garantál minden futtatáskor sikert, mivel a támadás időzítési (race condition) hibára épül, ugyanakkor a ThreatLocker független tesztjei megerősítették, hogy a sérülékenység valóban kihasználható, és siker esetén SYSTEM jogosultságú parancssort eredményez.
A kutató korábbi verziói még RCE lehetőségeket és BitLocker-megkerülési forgatókönyveket is tartalmaztak, azonban a Microsoft májusi javításai több támadási útvonalat lezártak. A jelenlegi nyilvános változat elsősorban jogosultságkiterjesztésre alkalmas, bár nem kizárt, hogy a technika továbbfejleszthető lesz.
A RoguePlanet azért kiemelten fontos, mert egy teljesen frissített Windows rendszeren is lehetővé teheti a felhasználói jogosultságról SYSTEM szintre történő emelést, ami ideális második lépés lehet malware-ek, zsarolóvírusok vagy APT-műveletek számára egy kezdeti kompromittálást követően. A cikk megjelenésekor a Microsoft még nem adott ki hivatalos javítást vagy CVE-azonosítót a sérülékenységhez.
