Windows aggiornato ma vulnerabile: RoguePlanet mette nel mirino Defender

Visto il braccio di ferro che il ricercatore di sicurezza noto online come Nightmare Eclipse ha da mesi avviato con Microsoft, ci aspettavamo un’ulteriore pesante e plateale azione dimostrativa come quella messa in atto proprio oggi. Con una tempistica appositamente scelta, come in altre occasioni, per contestare il modus operandi del Microsoft Security Response Center (MSRC), il ricercatore ha pubblicato i dettagli tecnici di un nuovo exploit battezzato RoguePlanet.

Si tratta di un problema, una falla zero-day per la quale al momento non è disponibile alcuna correzione, che interessa tutti i sistemi Windows 10 e Windows 11 completamente aggiornati. Sì, anche quelli che installano le patch appena distribuite da Microsoft a giugno 2026.

Il nuovo zero-day riguarda ancora una volta un componente cruciale come Microsoft Defender: sfruttando una race condition individuata dal ricercatore, un aggressore può ottenere l’apertura di un prompt dei comandi e quindi l’esecuzione di comandi arbitrati con i privilegi SYSTEM, il livello più elevato disponibile in Windows.

Come funziona RoguePlanet e perché preoccupa gli amministratori

Come spiega Nightmare Eclipse, RoguePlanet tenta di manipolare una finestra temporale estremamente ridotta durante l’esecuzione di operazioni privilegiate effettuate dal motore antivirus di Defender.

Le race condition rappresentano una categoria di vulnerabilità particolarmente insidiosa: non si basano necessariamente su errori di memoria o corruzioni dello spazio di indirizzamento, ma su condizioni temporali. Due operazioni concorrenti accedono alla stessa risorsa in momenti diversi rispetto a quelli previsti dagli sviluppatori: se l’attaccante riesce a controllare il momento esatto dell’interazione, può indurre il software dotato di privilegi elevati a eseguire azioni indesiderate.

Nightmare Eclipse afferma di aver ottenuto risultati molto variabili: alcune macchine mostrano un tasso di successo prossimo al 100%, mentre altre risultano più difficili da compromettere. È un comportamento in linea con gli exploit basati proprio su race condition: velocità del disco, carico del sistema, processi concorrenti e configurazioni hardware possono influenzare significativamente l’esito dell’attacco.

Verifiche indipendenti e conferme sul funzionamento

Uno degli elementi che hanno rapidamente attirato l’attenzione della comunità è stata la conferma fornita da ThreatLocker. L’azienda ha dichiarato di aver riprodotto con successo l’exploit su sistemi Windows 11 completamente aggiornati, inclusi quelli con l’aggiornamento cumulativo KB5094126 installato. Secondo l’analisi preliminare dell’azienda, il comportamento osservato corrisponde a quanto descritto dall’autore della ricerca.

Va detto però che la presenza di un proof-of-concept funzionante non implica automaticamente un rischio di compromissione remota su larga scala. Attualmente il vettore dimostrato pubblicamente produce una Local Privilege Escalation, cioè un’escalation locale dei privilegi. L’attaccante deve quindi possedere già una qualche forma di accesso iniziale al sistema bersaglio.

Il passaggio da utente standard a SYSTEM rimane comunque estremamente pericoloso: una volta ottenuti privilegi completi, diventano possibili attività come la disattivazione di controlli di sicurezza, la manipolazione dei servizi di sistema, l’accesso a dati riservati e l’attivazione di meccanismi di persistenza.

Dalle ipotesi di esecuzione remota alla versione finale dell’exploit

La parte più interessante della storia emerge dalle spiegazioni pubblicate dallo stesso ricercatore. RoguePlanet non sarebbe nato come semplice vulnerabilità di elevazione dei privilegi: durante le prime fasi di sviluppo, l’autore dell’indagine sostiene di aver verificato scenari che portavano a una vera e propria Remote Code Execution.

Il meccanismo sfruttava il modo in cui Defender gestiva file ospitati su condivisioni SMB remote. In uno degli scenari descritti, la vittima doveva aprire un file VHD o VHDX presente su un server SMB controllato dall’attaccante. La catena di exploit avrebbe portato Defender a sovrascrivere propri file interni, aprendo la strada all’esecuzione di codice arbitrario.

Nightmare Eclipse sostiene inoltre che, in alcune situazioni, sarebbe stato sufficiente convincere l’utente ad aprire una condivisione SMB per ottenere effetti ancora più gravi. Tutte queste ipotesi sarebbero state validate tramite attività di debugging durante la fase di ricerca.

La situazione sarebbe cambiata a metà maggio 2026: secondo il ricercatore, Microsoft avrebbe introdotto un rafforzamento non documentato all’interno delle API mpengine!SysIO*, componenti appartenenti al motore antimalware di Defender. Tale modifica avrebbe neutralizzato gli attacchi basati su giunzioni e reindirizzamenti di percorso che costituivano il cuore delle versioni iniziali dell’exploit.

Alla fine, Nightmare Eclipse è comunque riuscito a ottenere nuovamente un’escalation locale dei privilegi, anche se – leggendo tra le righe – sembra possa esserci qualcos’altro ancora.

BitLocker, Secure Boot e le altre affermazioni controverse

Nei messaggi pubblicati sul proprio blog, Nightmare Eclipse ha descritto anche altri progetti di ricerca.

Con riferimento a YellowKey, una tecnica che permette – in assenza di patch rilasciata da Microsoft il 9 giugno 2026 – di accedere ai sistemi protetti da BitLocker e visualizzare i dati in chiaro, il ricercatore ha dichiarato di non aver pubblicato il proof-of-concept completo perché utilizza personalmente BitLocker e ritiene la tecnologia utile nonostante i problemi individuati. In altre parole Nightmare Eclipse sostiene che un problema di sicurezza minaccerebbe anche i sistemi protetti con BitLocker e protezione TPM+PIN.

Altre affermazioni riguardano un progetto denominato Bitskrieg, sviluppato insieme con altri ricercatori.

Secondo quanto sostenuto dall’autore, la ricerca avrebbe individuato modalità per compromettere alcune garanzie offerte da Secure Boot e aggirare ulteriori protezioni legate a BitLocker. Al momento non esistono conferme pubbliche indipendenti sufficienti per validare tutte queste dichiarazioni e pertanto è opportuno trattarle con cautela.

Lo scontro tra il ricercatore e Microsoft continua ad aggravarsi

L’aspetto tecnico rappresenta soltanto una parte della vicenda. Da mesi il rapporto tra Nightmare Eclipse e Microsoft appare fortemente deteriorato: il ricercatore accusa l’azienda di aver fatto rimuovere repository ospitati su GitHub e GitLab contenenti exploit pubblici. Per questa ragione ha progressivamente trasferito il proprio materiale verso infrastrutture indipendenti e piattaforme di hosting gestite da soggetti terzi.

Microsoft, dal canto suo, ha già dichiarato che collaborerà con le autorità quando determinate attività producono danni concreti ai clienti. Tali affermazioni hanno generato ampie discussioni nella comunità della sicurezza, soprattutto tra coloro che le hanno interpretate come un messaggio diretto nei confronti del ricercatore.

Nei giorni della pubblicazione di RoguePlanet, Nightmare Eclipse ha inoltre comunicato che non procederà con una presunta divulgazione massiva di zero-day prevista per il 14 luglio 2026. In un messaggio firmato digitalmente ha spiegato che lo sviluppo dell’exploit ha richiesto uno sforzo molto superiore alle aspettative e che potrebbe prendersi una pausa dalle attività pubbliche di ricerca. Il ricercatore ha anche chiesto scusa per aver generato allarmismi riguardo a future pubblicazioni.

Colpiscono, infine, alcuni messaggi personali pubblicati nei giorni precedenti, nei quali l’autore descrive problemi di salute, mancanza di sonno e un’intensa attività di sviluppo protratta per settimane. Pur non avendo rilevanza tecnica diretta, tali dichiarazioni mostrano il livello di coinvolgimento personale che caratterizza la controversia con Redmond.

Pensiamo che una mano tesa da entrambe le parti e capire cosa non funziona nel colloquio con i ricercatori, in modo costruttivo, possano essere l’unica via d’uscita. A tutela degli interessi di tutti.