El investigador que Microsoft amenazó acaba de revelar un séptimo día cero de Windows horas después del Martes de Parche.

      TL;DRChaotic Eclipse lanzó RoguePlanet, su séptimo zero-day de Windows, horas después del récord de Patch Tuesday de Microsoft. Otorga acceso a SYSTEM en máquinas completamente parcheadas.

      Chaotic Eclipse, el investigador de seguridad que Microsoft amenazó con procesar penalmente, ha publicado un séptimo exploit zero-day de Windows. Llamado RoguePlanet, otorga a los atacantes privilegios de SYSTEM en máquinas con Windows 10 y 11 completamente parcheadas. El investigador publicó la prueba de concepto horas después de que Microsoft lanzara su actualización de Patch Tuesday de junio, que solucionó un récord de 200 vulnerabilidades.

      RoguePlanet explota una condición de carrera en la lógica de procesamiento interno de Windows Defender. Específicamente, es una vulnerabilidad de Tiempo de Verificación a Tiempo de Uso (TOCTOU). Un usuario sin privilegios puede redirigir una operación de archivo realizada por Defender, que se ejecuta como SYSTEM, para ejecutar código controlado por el atacante al nivel de privilegio más alto.

      “El exploit es una condición de carrera, así que es un acierto o un error,” dijo el investigador. “He logrado obtener una tasa de éxito del 100% en algunas máquinas mientras que en otras tuvo dificultades para funcionar.”

      El 💜 de la tecnología de la UELas últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris, y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Regístrate ahora!La firma de seguridad ThreatLocker confirmó que la falla funciona y publicó una demostración en video. “Nuestro análisis inicial confirma que el exploit RoguePlanet es viable y funciona como se describe,” dijo el CEO Danny Jenkins. Agregó que la lista blanca de aplicaciones puede prevenir la ejecución del exploit.

      La prueba de concepto fue publicada en un repositorio de Git autoalojado después de que el investigador dijera que Microsoft había eliminado los repositorios de GitHub y GitLab que albergaban trabajos anteriores. Esto es parte de una disputa en escalada. Microsoft invocó su Unidad de Delitos Digitales contra el investigador y revocó el acceso a su cuenta del Centro de Respuesta de Seguridad de Microsoft.

      Chaotic Eclipse ha divulgado siete zero-days en cuestión de meses: BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma, MiniPlasma, y ahora RoguePlanet. El Patch Tuesday de junio de Microsoft solucionó dos de ellos, GreenPlasma y YellowKey, pero el resto permanece sin parchear. El investigador dice que las divulgaciones son una represalia por cómo Microsoft manejó el proceso.

      “Me barrieron el suelo y jugaron todos los juegos infantiles que pudieron,” escribió el investigador. “Me preguntaba si estaba tratando con una corporación masiva o con alguien que simplemente se divierte viéndome sufrir.”

      El momento es significativo. El Patch Tuesday de junio de Microsoft fue el más grande de su historia, solucionando 200 vulnerabilidades, incluidas 33 clasificadas como críticas y tres zero-days divulgados públicamente. Los analistas atribuyen el aumento en parte a la auditoría de código asistida por IA, que está encontrando vulnerabilidades más rápido de lo que los defensores pueden parchearlas. La llegada de RoguePlanet horas después de la actualización récord subraya la brecha: incluso el ciclo de parches más grande en la historia de Microsoft fue inmediatamente obsoleto para cualquiera que ejecutara Windows Defender.