El investigador que Microsoft amenazó acaba de revelar un séptimo día cero de Windows horas después del Martes de Parches.

      TL;DRChaotic Eclipse lanzó RoguePlanet, su séptimo zero-day de Windows, horas después del récord de Patch Tuesday de Microsoft. Otorga acceso a SYSTEM en máquinas completamente parcheadas.

      Chaotic Eclipse, el investigador de seguridad que Microsoft amenazó con procesar penalmente, ha publicado un séptimo exploit zero-day de Windows. Llamado RoguePlanet, otorga a los atacantes privilegios de SYSTEM en máquinas con Windows 10 y 11 completamente parcheadas. El investigador lanzó la prueba de concepto horas después de que Microsoft enviara su actualización de Patch Tuesday de junio, que corrigió un récord de 200 vulnerabilidades.

      RoguePlanet explota una condición de carrera en la lógica de procesamiento interno de Windows Defender. Específicamente, es una vulnerabilidad de Tiempo de Verificación a Tiempo de Uso (TOCTOU). Un usuario sin privilegios puede redirigir una operación de archivo realizada por Defender, que se ejecuta como SYSTEM, para ejecutar código controlado por el atacante al nivel de privilegio más alto.

      “El exploit es una condición de carrera, así que es un acierto o un error”, dijo el investigador. “He logrado obtener una tasa de éxito del 100% en algunas máquinas mientras que en otras tuvo dificultades para funcionar.”

      El 💜 de la tecnología de la UELas últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora!La firma de seguridad ThreatLocker confirmó que la falla funciona y publicó un video de demostración. “Nuestro análisis inicial confirma que el exploit RoguePlanet es viable y funciona como se describe”, dijo el CEO Danny Jenkins. Agregó que la lista blanca de aplicaciones puede prevenir la ejecución del exploit.

      La prueba de concepto se publicó en un repositorio de Git autoalojado después de que el investigador dijera que Microsoft había eliminado los repositorios de GitHub y GitLab que albergaban trabajos anteriores. Esto es parte de una disputa en escalada. Microsoft invocó su Unidad de Delitos Digitales contra el investigador y revocó el acceso a su cuenta del Centro de Respuesta de Seguridad de Microsoft.

      Chaotic Eclipse ha divulgado siete zero-days en cuestión de meses: BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma, MiniPlasma y ahora RoguePlanet. El Patch Tuesday de junio de Microsoft corrigió dos de ellos, GreenPlasma y YellowKey, pero el resto permanece sin parchear. El investigador dice que las divulgaciones son represalias por cómo Microsoft manejó el proceso.

      “Me limpiaron el suelo y jugaron todos los juegos infantiles que pudieron”, escribió el investigador. “Me preguntaba si estaba tratando con una corporación masiva o con alguien que simplemente se estaba divirtiendo viéndome sufrir.”

      El momento es significativo. El Patch Tuesday de junio de Microsoft fue el más grande de su historia, corrigiendo 200 vulnerabilidades, incluidas 33 clasificadas como críticas y tres zero-days divulgados públicamente. Los analistas atribuyen el aumento en parte a la auditoría de código asistida por IA, que está encontrando vulnerabilidades más rápido de lo que los defensores pueden parchearlas. La llegada de RoguePlanet horas después de la actualización récord subraya la brecha: incluso el ciclo de parches más grande en la historia de Microsoft fue inmediatamente obsoleto para cualquiera que ejecutara Windows Defender.