Il 10 giugno 2026, lo stesso giorno del Patch Tuesday di Microsoft, il ricercatore noto come Nightmare Eclipse — alias Chaotic Eclipse — ha pubblicato un exploit zero-day denominato RoguePlanet che eleva privilegi fino a SYSTEM sfruttando una race condition nel motore di Microsoft Defender. L'exploit funziona su Windows 10 e Windows 11 con tutte le patch di giugno 2026 installate, rendendo inefficace il solo aggiornamento tradizionale. Il rilascio si inserisce in una campagna di disclose pubblica che, da aprile 2026, ha già prodotto almeno sei exploit zero-day contro lo stesso target, con tre predecessori confermati in exploitation attiva da Huntress.
- RoguePlanet ottiene LPE a SYSTEM tramite TOCTOU race condition in Microsoft Defender, non patchabile con gli aggiornamenti cumulativi di giugno 2026
- L'exploit funziona su Windows 10 e 11 completamente patchati, ma non su Windows Server dove gli utenti standard non possono montare immagini ISO
- Microsoft ha rilasciato il definition update 1.453.20.0 per il rilevamento, ma esperti indipendenti valutano la signature bypassabile con modifiche minori al codice
- BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) e UnDefend (CVE-2026-45498), exploit precedenti dello stesso ricercatore, sono stati osservati in exploitation attiva da Huntress
La meccanica: come la race condition bypassa Defender
RoguePlanet sfrutta una vulnerabilità di tipo Time-of-Check to Time-of-Use nel motore antimalware di Windows. Durante l'elaborazione di file sospetti, il processo SYSTEM di Defender valida il percorso di un file senza bloccare adeguatamente la risorsa tra la verifica e l'operazione successiva. Questo intervallo consente a un attaccante con privilegi limitati di inserire un NTFS junction point che redireziona l'operazione di scrittura privilegiata verso una directory controllata, tipicamente C:\Windows\System32.
Il ricercatore ha inizialmente sviluppato un percorso RCE che sfruttava file .vhd(x) su share SMB remoti. Le mitigazioni distribuite da Microsoft nel maggio 2026 hanno chiuso quel vettore specifico, costringendo il ricercatore a riprogettare l'exploit come strumento di privilege escalation locale. La condizione di race sottostante, tuttavia, è rimasta intatta: l'aggiornamento di giugno non ha modificato il comportamento del motore Defender in questa fase di elaborazione.
Il tasso di successo dell'exploit è variabile. Il ricercatore ha riferito che su alcune macchine raggiunge una percentuale di riuscita vicina al 100%, mentre su altre richiede tentativi multipli a causa della natura stocastica delle race condition. "The race condition part is a bit interesting, I managed to stabilize it as much as I can but writing this PoC geniunely drained my soul", ha scritto Chaotic Eclipse in un messaggio pubblicato in occasione del rilascio.
Il calendario della guerra: disclose sincronizzata con il Patch Tuesday
Il 10 giugno 2026 è stato un martedì di patch record per Microsoft: secondo Help Net Security, il ciclo ha distribuito circa 200 vulnerabilità, un volume eccezionale anche per gli standard del vendor. La scelta di Nightmare Eclipse di pubblicare RoguePlanet nello stesso giorno non è casuale. Il ricercatore ha reso pubblici almeno sei zero-day da aprile 2026, con una frequenza media di circa dieci giorni, tutti mirati a Microsoft Defender.
"Yes the rumors were true, a zero day vulnerability will be dropped this month as well... it's a race condition, I managed to stabilize it as much as I can"
La sequenza include BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma e MiniPlasma. Secondo CryptoBriefing, questo ritmo sostenuto riflette una disputa sul processo di vulnerability disclosure con Microsoft, culminata in una comunicazione del Microsoft Security Response Center datata 1 giugno 2026. In quella nota, MSRC ha criticato le disclose non coordinate affermando che "The details of these vulnerabilities were not shared with Microsoft prior to release, and the disclosures put our customers at unnecessary risk". Microsoft ha successivamente chiarito di non intendere azioni legali contro ricercatori legittimi, ma la tensione ha accelerato la campagna pubblica.
Cosa è confermato, cosa resta da verificare
Nessun CVE è stato assegnato a RoguePlanet al momento della pubblicazione. Non esiste un advisory strutturato di tipo Zero Day Initiative o GitHub Security Lab. Le fonti primarie — SecurityWeek, Help Net Security, SecurityAffairs e CyberSecurityNews — concordano sui dettagli tecnici, ma nessuna riporta una conferma diretta da Microsoft sulla vulnerabilità specifica. Il dossier non documenta patch correttiva oltre al definition update di rilevamento.
Non emergono segnalazioni di exploitation attiva in the wild per RoguePlanet. La distinzione è critica: mentre i predecessori BlueHammer, RedSun e UnDefend sono stati osservati in intrusioni reali dai ricercatori di Huntress, per RoguePlanet si tratta ancora di rischio teorico. Il ricercatore ha pubblicato il codice proof-of-concept su un account GitHub alternativo dopo che Microsoft ha sospeso il profilo precedente, ma il repository specifico non è verificato nelle fonti citate.
Sul fronte Windows Server, la situazione presenta un'ambiguità. L'exploit nel suo formato attuale non funziona perché gli utenti standard non dispongono dei permessi per montare immagini ISO, prerequisito della catena d'attacco. Tuttavia, il ricercatore ha espresso convinzione che la vulnerabilità sottostante interessi anche le edizioni Server: "I'm confident that all Windows Server versions are vulnerable as well, but by the time I figured out that the PoC doesn't work in Windows Server installations, it was too late to redesign the exploit". Il dossier non specifica se varianti future possano superare questo ostacolo.
Perché è importante
Il caso RoguePlanet evidenzia un fallimento strutturale nel modello di coordinated disclosure. Quando un ricercatore ritiene esaurito il canale ufficiale con il vendor, la pubblicazione diventa strumento di pressione politica; i destinatari intermedi, però, sono gli utenti finali che non hanno partecipato alla disputa. L'effetto dimostrativo di questa campagna — che le patch cumulative non bastano a proteggere Defender — mina la fiducia nel patching come strategia autonoma.
Per le organizzazioni con endpoint Windows 10/11, l'impatto si estende oltre l'ambito enterprise tradizionale. L'accesso SYSTEM compromette ogni isolamento basato sui privilegi utente, inclusi i wallet di criptovalute e le credenziali archiviate nel browser. CryptoBriefing ha sottolineato l'angolo crittografico: con SYSTEM, un attaccante ottiene visibilità completa sulla memoria e sui processi, spazio dove risiedono chiavi private non esportate. La detection basata su signature di Defender è, per definizione, reattiva e retroattiva: il ricercatore stesso ha notato che modifiche minori al PoC eludono la firma 1.453.20.0.
Il pattern di sei zero-day in circa due mesi indica una superficie d'attacco sistemica in Microsoft Defender, non un incidente isolato. Le fonti concordano che la famiglia di vulnerabilità TOCTOU/path redirection era già emersa con BlueHammer; le mitigazioni parziali di maggio 2026 hanno spostato il vettore senza eliminare la classe di problema. Questo suggerisce che le revisioni architetturali del motore Defender, non le patch puntuali, siano il livello di intervento necessario — ma nessuna fonte nel dossier conferma che Microsoft stia conducendo tale revisione.
Domande e risposte
Perché le patch di giugno 2026 non proteggono?
Le patch cumulative corrette nel ciclo di giugno non modificano il comportamento della race condition nel motore Defender. Il ricercatore ha testato esplicitamente su sistemi con tali patch installate. L'unica risposta Microsoft documentata è il definition update 1.453.20.0 per il rilevamento, non una correzione del codice vulnerabile.
I precedenti exploit sono davvero correlati?
BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) e UnDefend (CVE-2026-45498) condividono con RoguePlanet la stessa classe di debolezza in Defender e lo stesso autore. Huntress ha confermato exploitation attiva per i primi tre. Non esiste documentazione di utilizzo di RoguePlanet in intrusioni reali al 10 giugno 2026.
Cosa succede se Microsoft riscrive il motore Defender?
Il dossier non contiene indicazioni su piani Microsoft in questa direzione. La ristrutturazione architetturale saresebbe l'unica mitigazione radicale per la classe TOCTOU, ma non è citata in alcuna fonte primaria come in corso o programmata.
Fonti
- https://www.securityweek.com/new-windows-zero-day-exploit-rogueplanet-released/
- https://www.helpnetsecurity.com/2026/06/10/microsoft-patch-tuesday-rogueplanet/
- https://unit42.paloaltonetworks.com/captive-portal-zero-day/
- https://cryptobriefing.com/rogueplanet-windows-zero-day-exploit/
- https://securityaffairs.com/193436/security/chaotic-eclipse-unveils-rogueplanet-exploit-targeting-fully-patched-windows.html
- https://cybersecuritynews.com/windows-defender-0-day-exploit-rogueplanet/
- https://www.helpnetsecurity.com/2026/04/08/bluehammer-windows-zero-day-exploit-leaked/
- https://www.helpnetsecurity.com/2026/04/17/microsoft-defender-zero-days-exploited/
- https://www.helpnetsecurity.com/2026/05/21/microsoft-defender-vulnerabilities-cve-2026-41091-cve-2026-45498/
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-42897
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.