Антивирус Windows выдал права SYSTEM

Исследователь Nightmare Eclipse опубликовал рабочий эксплойт RoguePlanet для Microsoft Defender, позволяющий получить права SYSTEM даже на полностью обновлённых Windows 10 и 11. Уязвимость основана на состоянии гонки — ситуации, когда два процесса одновременно обращаются к одному ресурсу, и атакующий успевает вмешаться в этот момент. При успешной атаке на экране открывается командная строка с наивысшим уровнем доступа в Windows.

Код выложен на GitHub и в личном репозитории исследователя, поскольку Microsoft ранее неоднократно удаляла его материалы с популярных платформ. Компания ThreatLocker подтвердила работоспособность эксплойта на актуальных Windows 11 с обновлением KB5094126 и опубликовала видео с демонстрацией. Сам Nightmare Eclipse предупреждает: результат нестабилен. На одних системах эксплойт срабатывает в 100% случаев, на других — заметно хуже.

Изначально уязвимость задумывалась как инструмент удалённого выполнения кода через обработку Defender’ом файлов на удалённых SMB-серверах. Однако в середине мая Microsoft незаметно изменила соответствующий механизм защитника, заблокировав ключевой вектор атаки. Nightmare Eclipse переработал эксплойт, но признаёт: возможность удалённого выполнения кода пока остаётся под вопросом. Публикация стала частью затяжного конфликта из-за политики выплат за найденные уязвимости. За последние месяцы исследователь раскрыл BlueHammer, RedSun, GreenPlasma и YellowKey — последние две Microsoft закрыла в рамках июньского Patch Tuesday, в тот же день, когда появился RoguePlanet.

Microsoft ранее предупреждала о готовности привлечь правоохранительные органы в случае «вредоносной деятельности», способной навредить клиентам, но после резонанса в сообществе смягчила позицию. Официального исправления на момент публикации нет. ThreatLocker отмечает, что организации, использующие списки разрешённых приложений, могут заблокировать выполнение RoguePlanet вручную.

Встроенный антивирус Windows стал уязвимым звеном для получения максимальных прав. Microsoft пока не выпустила исправление, а Nightmare Eclipse продолжает публиковать рабочие эксплойты в ответ на политику компании. Пользователям Windows остаётся рассчитывать на ручные методы защиты до выхода официального патча.