Mindössze néhány órával a 2026. júniusi Patch Tuesday frissítések megjelenése után Nightmare Eclipse nyilvánosságra hozta a RoguePlanet nevű, hetedik Windows zero-day exploitját. A teljesen patchelt Windows 10 és Windows 11 rendszerek egyaránt sebezhetők, és a sérülékenység sikeres kihasználása esetén egy normál jogosultságú felhasználó NT AUTHORITY\SYSTEM szintű parancssori hozzáférést kap, kernel exploit, memóriakorrupció vagy rendszergazdai jogosultság nélkül.

A RoguePlanet egy sorozat folytatása. Nightmare Eclipse (Nightmare-Eclipse, Chaotic Eclipse, Dead Eclipse) tíz hét alatt összesen hét Windows zero-day exploitot tett közzé, mindegyiket koordinált felelős közzététel (coordinated disclosure) és CVE azonosító nélkül. A sorozat 2026. április 3-án indult, és szisztematikusan a Microsoft Defender belső architektúráját, valamint az ahhoz kapcsolódó Windows komponenseket veszi célba.

A kutató saját bevallása szerint a kiadások egy tiltakozó kampány részét képezik. A Microsoft Research Center (MSRC) visszavonta portálhozzáférését, elutasította a bejelentett sérülékenységeket, és megtagadta a bug bounty kifizetéseket. A GitHub 2026. május 23-án, a GitLab május 26-án törölte a repóit. A kutató válaszlépésként egy önállóan hosztolt Git platformot hozott létre és kijelentette: „Microsoft cannot unwrite my code”.

A korábbi eszközök közül a BlueHammer (CVE-2026-33825), a RedSun (CVE-2026-41091) és az UnDefend (CVE-2026-45498) már aktívan kihasználták valós támadási láncokban, és felkerültek a CISA KEV (Known Exploited Vulnerabilities) katalógusába is.

A RoguePlanet egy tervezési szintű race condition a Windows Defender szkennelési és karanténfolyamatában, amelyet az NTFS reparse pointok (junction), opportunistic lock (oplock), a Volume Shadow Copy szolgáltatás és a Windows Error Reporting (WER) ütemezett feladatinfrastruktúrájának kombinációja tesz kihasználhatóvá. A sérülékenység egyetlen Windows komponensben sem önmagában rejlik, kizárólag azok egymás utáni, kombinált alkalmazásából keletkezik.

A Defender karanténfolyamata létrehoz egy SYSTEM fájlt, de nem ellenőrzi a tényleges elhelyezkedésének integritását a létrehozás és a felhasználás között. Ezt a rést aknázza ki az exploit, és a saját binárisát juttatja el oda, ahonnan a WER QueueReporting ütemezett feladat, SYSTEM jogosultsággal futva, azt végrehajtatja.

A kutató megjegyzi, hogy az exploit race condition jellege miatt nem 100%-os megbízhatóságú minden konfigurációban. Néhány gépen tökéletesen működött, másokon sikertelen volt. Windows Serveren nem működik, mivel az alapértelmezett felhasználók nem csatolhatnak ISO-képeket.

Patch jelenleg nem elérhető. A Microsoft kijelentette, hogy vizsgálja a sérülékenységet, és elkötelezett a koordinált közzététel iránt. A Defender aláírásfrissítése kizárólag a lefordított PoC binárist azonosítja. Kisebb forrásmódosítás után ez a detekció kijátszható, a viselkedéslánc statikus eszközökkel nem észlelhető.