Jeśli zarządzasz Windowsem 10 lub 11 — zastosuj wczorajsze (9 czerwca) łatki Patch Tuesday, bo domykają dwie wcześniejsze luki tego samego badacza (GreenPlasma i YellowKey). Ale wiedz, że to nie wystarcza: kilka godzin po tych łatkach badacz wypuścił RoguePlanet — exploit zero-day na Microsoft Defender, działający na systemach z zainstalowaną czerwcową aktualizacją. Nie ma na niego łatki ani identyfikatora CVE. Ponieważ to race condition, atak jest „raz działa, raz nie" — ale na części maszyn badacz raportuje 100% skuteczności, a niezależny analityk Will Dormann potwierdził, że zadziałał za pierwszym razem.
Pod koniec maja opisywaliśmy spór między Microsoftem a badaczem o pseudonimie Chaotic Eclipse — serię niezależnie publikowanych zero-dayów w Defenderze, wydawanych poza wszelką koordynacją, jako odwet za to, jak firma potraktowała jego zgłoszenia. Wtedy Microsoft wydał ostre oświadczenie, badacz się nie odzywał, a my pisaliśmy, że to jest spór, w którym obie strony twierdzą, że to druga zawiodła.
Dwa tygodnie później ta saga zatoczyła pełne koło — i to w sposób, który jest niemal demonstracyjny. 9 czerwca, na Patch Tuesday, Microsoft załatał dwie wcześniejsze luki tego badacza: GreenPlasma i YellowKey. Tego samego popołudnia badacz opublikował RoguePlanet — kolejny zero-day, tym razem działający na systemach z właśnie wydanymi łatkami. Łatka i nowy exploit w odstępie godzin, tego samego dnia.
Kim jest Nightmare Eclipse i co już zrobił
Badacz działa pod kilkoma pseudonimami — Nightmare Eclipse, Chaotic Eclipse, Dead Eclipse — publikując przez własny blog na Bloggerze i konto GitHub MSNightmare. RoguePlanet to co najmniej siódmy publicznie wydany exploit zero-day tej samej osoby od początku kwietnia 2026. Wcześniejsze to BlueHammer (otrzymał CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey, GreenPlasma i MiniPlasma. To mniej więcej jeden nowy zero-day co dziesięć dni przez dwa miesiące.
Część z nich celowała w Microsoft Defender, część w BitLocker i inne komponenty Windows. I — co kluczowe — to nie są teoretyczne PoC. Jak opisywaliśmy wcześniej, Huntress udokumentował realne włamania, w których BlueHammer, RedSun i narzędzie do wyłączania Defendera UnDefend zostały użyte w żywym łańcuchu ataku. Exploity tego badacza nie zostają na papierze — trafiają do rąk atakujących.
To jest dokładnie ta dynamika, którą zapisaliśmy przy HTTP/2 Bomb i Langflow: publiczny PoC to nie koniec historii, to materiał startowy dla atakujących. Różnica jest taka, że tutaj publikacja jest świadomym aktem w sporze, nie ubocznym skutkiem ujawnienia.
Co robi RoguePlanet
RoguePlanet to exploit lokalnej eskalacji uprawnień (LPE), wykorzystujący race condition w wewnętrznej logice przetwarzania plików przez Microsoft Defender.
Mechanizm jest elegancki w swojej prostocie. Defender działa jako SYSTEM — najwyższy poziom uprawnień w Windows. Gdy skanuje plik, wykonuje na nim operacje. Zwykły, nieuprzywilejowany użytkownik może wykorzystać lukę czasową między dwiema operacjami Defendera, by przekierować operację na plik — i sprawić, że Defender, działając jako SYSTEM, wykona kod kontrolowany przez atakującego. Po udanym ataku pojawia się powłoka z uprawnieniami SYSTEM. Użytkownik bez żadnych uprawnień staje się najwyższym administratorem maszyny.
Race condition oznacza, że atak jest z natury niestabilny — zależy od trafienia w wąskie okno czasowe. Badacz sam to przyznaje: exploit to „raz działa, raz nie". Na niektórych maszynach osiąga 100% skuteczności, na innych ma trudności. Ale niestabilność nie jest pocieszeniem — atakujący może po prostu próbować wielokrotnie, a niezależny analityk Will Dormann potwierdził, że na jego maszynie RoguePlanet zadziałał za pierwszym razem.
Jest jeden szczegół, który warto odnotować, bo pokazuje, że hamulce Microsoftu częściowo działają. Mitygacje wprowadzone w maju zamknęły część ścieżek ataku, i badacz musiał przerobić exploit, co — jak napisał — „wyssało z niego duszę". To znaczy, że obrona Microsoftu nie jest bezużyteczna — zmusiła do przepisania. Ale nie wystarczyła, by zamknąć lukę całkowicie. Na razie nie wiadomo, czy RoguePlanet ogranicza się do LPE, czy da się go przerobić na zdalne wykonanie kodu. Nie działa na Windows Server w obecnej formie, choć wszystkie wersje Server są uznawane za podatne na tę samą bazową lukę.
Dlaczego „działa na załatanym Windows" jest sednem
Tu jest punkt, który czyni RoguePlanet czymś więcej niż kolejnym wpisem w sadze.
Większość zero-dayów przestaje być groźna po łatce. Cała logika Patch Tuesday opiera się na założeniu: zastosuj aktualizacje, a luki zostaną zamknięte. RoguePlanet łamie to założenie wprost. Exploit działa na w pełni zaktualizowanych systemach Windows 10 i 11 z czerwcowymi łatkami. Badacz przetestował go na Windows 11 w wersji oficjalnej i Canary oraz na Windows 10 z czerwcową aktualizacją.
Oznacza to, że organizacja, która zrobiła wszystko prawidłowo — zastosowała Patch Tuesday tego samego dnia — wciąż jest podatna. To jest dokładnie ta sytuacja, którą opisywaliśmy przy wycieku NTLM w Windows i przy zero-dayu Exchange: łatanie według cyklu zakłada, że przeciwnik czeka na cykl. RoguePlanet pokazuje przeciwieństwo — badacz zsynchronizował publikację z Patch Tuesday właśnie po to, by zademonstrować, że jego luka jest poza zasięgiem comiesięcznej łatki.
Spór, który napędza technikę
Warto być precyzyjnym co do natury tego, co tu widzimy — bo to nie jest zwykłe badanie bezpieczeństwa.
W kryptograficznie podpisanych wpisach na swoim blogu Chaotic Eclipse wyraził niezadowolenie ze sposobu, w jaki Microsoft obsłużył proces ujawnienia, i zarzucił firmie odebranie dostępu do konta w Microsoft Security Response Center — przez które badacze zgłaszają luki. Oskarżył Microsoft o upokorzenie, lekceważenie zgłoszeń, brak wynagrodzenia za znalezione podatności i zniesławienie.
Microsoft ze swojej strony w oświadczeniu z 27 maja, które opisywaliśmy, skrytykował brak skoordynowanego ujawnienia i zagroził krokami prawnymi, stwierdzając, że publiczne ujawnienia pomagają atakującym, i że dział do walki z cyberprzestępczością współpracuje z organami ścigania. Firma napisała wprost, że luki RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma i MiniPlasma nie zostały ujawnione odpowiedzialnie.
Nie rozstrzygamy, kto ma rację — i tak samo pisaliśmy dwa tygodnie temu. Ale RoguePlanet pokazuje, dokąd taki spór prowadzi, gdy eskaluje: badacz, który czuje się skrzywdzony, ma zdolności techniczne, by co dziesięć dni publikować działający zero-day, i synchronizuje publikacje z cyklem łatek przeciwnika, by zmaksymalizować efekt. To jest najgorszy możliwy wynik załamania się relacji między badaczem a producentem — i trzeci taki przypadek, który opisujemy w ciągu kilku tygodni, obok ChatGPhish i wycieku NTLM.
Te trzy historie układają się we wspólny obraz: relacja między badaczami a producentami jest pod napięciem. Przy ChatGPhish producent oznaczył realny błąd jako „nieodtwarzalny". Przy wycieku NTLM odmówił CVE. Tutaj badacz, odcięty od kanału zgłoszeń, prowadzi otwartą kampanię odwetową. Różne strony tego samego problemu — gdy proces odpowiedzialnego ujawnienia zawodzi, traci na tym bezpieczeństwo wszystkich.
Co zrobić
Zastosuj czerwcowe łatki Patch Tuesday — domykają GreenPlasma i YellowKey, dwie wcześniejsze luki tego badacza. To konieczne, nawet jeśli nie zamyka RoguePlanet.
Na RoguePlanet nie ma obecnie łatki. Mitygacje warstwowe są jedyną dostępną obroną do czasu, aż Microsoft wyda poprawkę. Ponieważ exploit nadużywa Defendera działającego jako SYSTEM, monitoruj nietypowe zachowania procesów Defendera i nieoczekiwane powłoki uruchamiane z kontekstu SYSTEM. To są sygnały, których szukać przy braku łatki.
Ogranicz możliwość uruchamiania nieautoryzowanego kodu przez nieuprzywilejowanych użytkowników — RoguePlanet wymaga lokalnego wykonania, więc kontrola tego, co użytkownicy mogą uruchomić, podnosi poprzeczkę. Zasada najmniejszych uprawnień i kontrola aplikacji to tu realne warstwy obrony.
Śledź komunikaty Microsoftu — przy aktywnym, publicznym PoC i potwierdzonej wcześniej eksploatacji narzędzi tego badacza w realnych atakach, łatka prawdopodobnie pojawi się poza cyklem. Gdy się pojawi, zastosuj ją natychmiast, nie czekając na lipcowy Patch Tuesday.
Źródła
BleepingComputer — szczegóły RoguePlanet, status łatek GreenPlasma/YellowKey i cytaty badacza: https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-rogueplanet-zero-day-grants-system-privileges/
The Hacker News — kontekst sporu, podpisane kryptograficznie wpisy i zarzuty wobec Microsoftu: https://thehackernews.com/2026/06/microsoft-defender-rogueplanet-zero-day.html
CSO Online — oświadczenie Microsoftu z 27 maja i groźba kroków prawnych: https://www.csoonline.com/article/4183487/microsoft-feud-escalates-as-researcher-drops-new-windows-zero-day.html
SecurityWeek — mechanizm przekierowania operacji pliku i status mitygacji z maja: https://www.securityweek.com/new-windows-zero-day-exploit-rogueplanet-released/
Cyberpress — pełna lista siedmiu exploitów i potwierdzenie Huntress o realnych włamaniach: https://cyberpress.org/new-windows-defender-0-day-enables-system-level-privilege-escalation/
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł