Исследователь, которому угрожала Microsoft, только что выпустил седьмой нулевой день Windows через несколько часов после вторника обновлений.

      TL;DRChaotic Eclipse выпустила RoguePlanet, свою седьмую уязвимость нулевого дня для Windows, через несколько часов после рекордного вторника патчей Microsoft. Она предоставляет доступ к системе на полностью обновленных машинах.

      Chaotic Eclipse, исследователь безопасности, которому Microsoft угрожала уголовным преследованием, опубликовала седьмую уязвимость нулевого дня для Windows. Называемая RoguePlanet, она предоставляет злоумышленникам привилегии SYSTEM на полностью обновленных машинах Windows 10 и 11. Исследователь выпустил доказательство концепции через несколько часов после того, как Microsoft выпустила обновление своего июня вторника патчей, которое исправило рекордные 200 уязвимостей.

      RoguePlanet использует состояние гонки в внутренней логике обработки Windows Defender. В частности, это уязвимость Time-of-Check to Time-of-Use (TOCTOU). Непривилегированный пользователь может перенаправить файловую операцию, выполняемую Defender, который работает с привилегиями SYSTEM, для выполнения кода, контролируемого злоумышленником, на самом высоком уровне привилегий.

      «Эксплойт является состоянием гонки, поэтому это удача или промах», — сказал исследователь. «Мне удалось добиться 100% успеха на некоторых машинах, в то время как на других он не работал».

      💜 технологий ЕСПоследние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!Компания безопасности ThreatLocker подтвердила, что уязвимость работает, и опубликовала видео с демонстрацией. «Наш первоначальный анализ подтверждает, что эксплойт RoguePlanet жизнеспособен и работает так, как описано», — сказал генеральный директор Дэнни Дженкинс. Он добавил, что разрешение приложений может предотвратить выполнение эксплойта.

      Доказательство концепции было опубликовано в самохостируемом репозитории Git после того, как исследователь сообщил, что Microsoft удалил репозитории GitHub и GitLab, в которых размещалась ранняя работа. Это часть нарастающего спора. Microsoft привлекла свое подразделение по борьбе с цифровыми преступлениями против исследователя и отозвала доступ к их учетной записи в Центре реагирования на безопасность Microsoft.

      Chaotic Eclipse раскрыла семь уязвимостей нулевого дня за несколько месяцев: BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma, MiniPlasma и теперь RoguePlanet. Июньский вторник патчей Microsoft исправил две из них, GreenPlasma и YellowKey, но остальные остаются без исправлений. Исследователь утверждает, что раскрытия являются местью за то, как Microsoft обрабатывала процесс.

      «Они вытерли об меня пол и использовали все детские игры, какие только могли», — написал исследователь. «Я задавался вопросом, имею ли дело с огромной корпорацией или с кем-то, кто просто развлекается, наблюдая, как я страдаю».

      Своевременность имеет значение. Июньский вторник патчей Microsoft стал самым большим в истории, исправив 200 уязвимостей, включая 33, оцененные как критические, и три публично раскрытые уязвимости нулевого дня. Аналитики связывают рост отчасти с помощью ИИ в аудите кода, который находит уязвимости быстрее, чем защитники могут их исправить. Появление RoguePlanet через несколько часов после рекордного обновления подчеркивает разрыв: даже самый крупный цикл патчей в истории Microsoft стал немедленно устаревшим для всех, кто использует Windows Defender.