Ο ερευνητής που χρησιμοποιεί το όνομα Nightmare Eclipse κυκλοφόρησε ένα νέο zero-day exploit του Microsoft Defender που ονομάζεται “RoguePlanet”. Το exploit φέρεται να λειτουργεί σε πλήρως ενημερωμένα συστήματα Windows 10 και 11 και μπορεί να δημιουργήσει μια γραμμή εντολών με δικαιώματα SYSTEM στο Defender. 
Η κυκλοφορία ήρθε λίγες ώρες αφού η Microsoft διόρθωσε δύο αποκαλυφθέντα ελαττώματα κατά τη διάρκεια της τελευταίας μηνιαίας κυκλοφορίας του Patch Tuesday — της μεγαλύτερης κυκλοφορίας του Patch Tuesday που έχει κάνει ποτέ.
Το BleepingComputer αναφέρει:
Ο ερευνητής κοινοποίησε ένα exploit proof-of-concept το απόγευμα της Τρίτης σε ένα αυτο-φιλοξενούμενο αποθετήριο Git, αφού τα αποθετήρια GitHub και GitLab που φιλοξενούν τα exploits του είχαν αφαιρεθεί από τη Microsoft. “Το exploit είναι ένα race condition, οπότε είναι επιτυχία ή αποτυχία. Κατάφερα να έχω ποσοστό επιτυχίας 100% σε ορισμένα μηχανήματα, ενώ δυσκολευόταν να λειτουργήσει σε άλλα”, αναφέρει ο Nightmare Eclipse στο αποθετήριο.
Η εταιρεία ασφαλείας ThreatLocker δήλωσε στο BleepingComputer ότι αναπαρήγαγε με επιτυχία το ελάττωμα στις δοκιμές της και επιβεβαίωσε ότι το exploit λειτουργεί σε πλήρως ενημερωμένα συστήματα Windows 11 με εγκατεστημένη τγν KB5094126.
“Η αρχική μας ανάλυση επιβεβαιώνει ότι το exploit RoguePlanet είναι βιώσιμο και λειτουργεί όπως περιγράφεται. Οι οργανισμοί που χρησιμοποιούν λίστα επιτρεπόμενων εφαρμογών μπορούν να αποτρέψουν την εκτέλεση του exploit, παρέχοντας ένα αποτελεσματικό επίπεδο προστασίας από αυτήν την επίθεση”, δήλωσε στο BleepingComputer ο Danny Jenkins, Διευθύνων Σύμβουλος της ThreatLocker.
Σύμφωνα με τον Nightmare Eclipse, το RoguePlanet αναπτύχθηκε αρχικά σαν ένα κενό ασφαλείας απομακρυσμένης εκτέλεσης κώδικα που εκμεταλλευόταν τον χειρισμό αρχείων που φιλοξενούνται σε απομακρυσμένα κοινόχρηστα στοιχεία SMB από το Microsoft Defender.
“Στην αρχική ανάπτυξη, επιβεβαιώθηκε ότι αυτό το κενό ασφαλείας ήταν μια απομακρυσμένη εκτέλεση κώδικα”, εξήγησε ο ερευνητής σε μια ανάρτηση στο blog του (remote code execution vulnerability).
“Χρειάζεται από έναν εισβολέα να εξαναγκάσει ένα θύμα να ανοίξει ένα .vhd(x) σε έναν απομακρυσμένο διακομιστή SMB, και το exploit θα κάνει τον defender να αντικαταστήσει τα δικά του αρχεία και προφανώς το τελικό αποτέλεσμα θα είναι ένα RCE”.
Ο ερευνητής αναφέρει ότι ένα άλλο σενάριο επίθεσης θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα απλώς εξαναγκάζοντας ένα θύμα να ανοίξει ένα κοινόχρηστο στοιχείο SMB εάν οι ρυθμίσεις αξιολόγησης symlink είναι ενεργοποιημένες.
Ωστόσο, ο ερευνητής ισχυρίζεται ότι η Microsoft ενίσχυσε σιωπηλά το Defender στα μέσα Μαΐου, ενημερώνοντας το API “mpengine!SysIO*”, το οποίο μπλόκαρε τις επιθέσεις junction.
“Η επανεγγραφή του RoguePlanet για να το κάνω ξανά λειτουργικό με κούρασε και δεν μπόρεσα να ολοκληρώσω τα άλλα σενάρια και προς το παρόν παραμένει ασαφές εάν το RoguePlanet περιορίζεται να είναι LPE ή υπάρχει κάποιος τρόπος να μετατραπεί σε RCE”.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
