Il ricercatore che Microsoft ha minacciato ha appena rilasciato un settimo zero-day di Windows poche ore dopo il Patch Tuesday.

      TL;DRChaotic Eclipse ha rilasciato RoguePlanet, il suo settimo zero-day per Windows, poche ore dopo il record Patch Tuesday di Microsoft. Consente l'accesso a SYSTEM su macchine completamente aggiornate. Chaotic Eclipse, il ricercatore di sicurezza che Microsoft ha minacciato di perseguire penalmente, ha pubblicato un settimo exploit zero-day per Windows. Chiamato RoguePlanet, consente agli attaccanti di ottenere privilegi di SYSTEM su macchine Windows 10 e 11 completamente aggiornate. Il ricercatore ha rilasciato la prova di concetto poche ore dopo che Microsoft ha distribuito il suo aggiornamento di Patch Tuesday di giugno, che ha risolto un record di 200 vulnerabilità. RoguePlanet sfrutta una condizione di gara nella logica di elaborazione interna di Windows Defender. In particolare, si tratta di una vulnerabilità Time-of-Check to Time-of-Use (TOCTOU). Un utente non privilegiato può reindirizzare un'operazione di file eseguita da Defender, che gira come SYSTEM, per eseguire codice controllato dall'attaccante al livello di privilegio più elevato. “L'exploit è una condizione di gara, quindi è un colpo o un errore,” ha detto il ricercatore. “Sono riuscito a ottenere un tasso di successo del 100% su alcune macchine mentre ha faticato a funzionare su altre.” Il 💜 della tecnologia dell'UE Le ultime novità dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! La società di sicurezza ThreatLocker ha confermato che la vulnerabilità funziona e ha pubblicato una dimostrazione video. “La nostra analisi iniziale conferma che l'exploit RoguePlanet è valido e funziona come descritto,” ha detto il CEO Danny Jenkins. Ha aggiunto che l'applicazione di una lista di autorizzazione può prevenire l'esecuzione dell'exploit. La prova di concetto è stata pubblicata su un repository Git auto-ospitato dopo che il ricercatore ha affermato che Microsoft aveva rimosso i repository GitHub e GitLab che ospitavano lavori precedenti. Questo fa parte di una disputa in escalation. Microsoft ha invocato la sua Unità Crimini Digitali contro il ricercatore e ha revocato l'accesso al loro account del Microsoft Security Response Center. Chaotic Eclipse ha divulgato sette zero-day in pochi mesi: BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma, MiniPlasma e ora RoguePlanet. Il Patch Tuesday di giugno di Microsoft ha risolto due di essi, GreenPlasma e YellowKey, ma gli altri rimangono non corretti. Il ricercatore afferma che le divulgazioni sono una ritorsione per come Microsoft ha gestito il processo. “Mi hanno pulito il pavimento e hanno tirato fuori ogni gioco infantile che potevano,” ha scritto il ricercatore. “Mi chiedevo se stavo trattando con una grande corporazione o con qualcuno che si sta solo divertendo a vedermi soffrire.” Il tempismo è significativo. Il Patch Tuesday di giugno di Microsoft è stato il più grande di sempre, risolvendo 200 vulnerabilità, tra cui 33 classificate come critiche e tre zero-day divulgati pubblicamente. Gli analisti attribuiscono l'aumento in parte all'audit del codice assistito da AI, che trova vulnerabilità più velocemente di quanto i difensori possano correggerle. RoguePlanet è arrivato poche ore dopo l'aggiornamento record, sottolineando il divario: anche il ciclo di patch più grande nella storia di Microsoft è stato immediatamente obsoleto per chiunque stesse eseguendo Windows Defender.