Chaotic Eclipse veröffentlichte den Exploit über ein neues GitHub-Konto mit dem Namen „MSNightmare“. Nach eigenen Angaben war die Entwicklung des vollständigen Proof of Concept bis Ende Mai abgeschlossen. Der Forscher beschrieb die Ausnutzung als Race Condition und erklärte, der Erfolg sei daher ein „Treffer oder Fehlschlag“.
Gelingt die Ausnutzung, endet sie laut Beschreibung in einer Shell mit SYSTEM-Berechtigungen. Dadurch kann ein Angreifer beliebigen Code ausführen oder unbefugte Aktionen vornehmen. Getestet wurde der Exploit nach Angaben von Chaotic Eclipse auf Windows 11 und Windows 10 mit den Patch-Tuesday-Updates vom Juni 2026, also auf vollständig aktualisierten Desktop-Systemen.
Auf Windows Server funktioniert der Exploit in seiner derzeitigen Form laut dem Forscher nicht, weil Standardnutzer dort kein ISO-Abbild einbinden können. Chaotic Eclipse betonte jedoch, dass auch Windows-Server-Installationen von der Schwachstelle betroffen seien; der Exploit müsse dafür lediglich überarbeitet werden.
Will Dormann bestätigte in einem Beitrag auf Mastodon eine zumindest praktische Reproduzierbarkeit. Der Exploit sei Berichten zufolge zwar nicht zu 100 Prozent zuverlässig, habe bei ihm aber beim ersten Versuch funktioniert.
RoguePlanet ist die jüngste in einer Reihe von Microsoft-Defender-Schwachstellen, die Chaotic Eclipse in den vergangenen Monaten publik gemacht hat. Der Quelltext ordnet diese nicht koordinierten Veröffentlichungen als mutmaßliche Vergeltungsmaßnahme ein, nachdem die Kommunikation zwischen dem anonymen Forscher und Microsoft nach Darstellung der Beteiligten gescheitert sei.
In kryptografisch signierten Beiträgen auf der eigenen Blogger-Seite kritisierte Chaotic Eclipse den Umgang Microsofts mit dem Offenlegungsprozess. Der Forscher warf dem Unternehmen vor, den Zugang zum Konto beim Microsoft Security Response Center (MSRC) entzogen zu haben, über das Schwachstellen gemeldet werden können. Außerdem beschuldigte Chaotic Eclipse Microsoft, die Meldungen abgewiesen, keine Vergütung für die gefundenen Schwachstellen gezahlt und den Forscher diffamiert zu haben.
Kürzlich verurteilte Microsoft die öffentlichen Offenlegungen von Schwachstellen. Das Unternehmen erklärte, diese seien „niemals zu rechtfertigen“ und setzten Kunden einem „unnötigen Risiko“ aus. Der Quelltext weist zugleich darauf hin, dass alle drei zuvor erwähnten Defender-Schwachstellen inzwischen bereits in freier Wildbahn ausgenutzt wurden.
Der öffentliche Streit führte laut Bericht auch dazu, dass die GitHub- und GitLab-Konten des Forschers entfernt wurden. Sicherheitsforscher Kevin Beaumont kritisierte dies scharf und erklärte, Microsoft versuche, seine Eigentümerrolle bei GitHub zu missbrauchen, um nur die eigenen Produkte zu schützen. Zudem missbrauche das Unternehmen seine engen Verbindungen zu Strafverfolgungsbehörden, indem es die Veröffentlichung von Informationen über Schwachstellen in den eigenen Produkten als kriminelles Verhalten darstelle.
Microsoft widersprach dem in einem Beitrag auf X. Das Unternehmen erklärte, man beabsichtige nicht, gegen Personen vorzugehen, die Sicherheitsforschung betreiben oder ihre Forschung veröffentlichen. Wenn jedoch jemand gegen das Gesetz verstoße und bösartige Aktivitäten entfalte, die Kunden tatsächlich schadeten, werde Microsoft gegebenenfalls mit Strafverfolgungsbehörden zusammenarbeiten. Zudem betonte das Unternehmen, man wolle jede Interaktion mit Transparenz, klarer Kommunikation und Professionalität führen und halte weiterhin an der koordinierten Offenlegung von Schwachstellen als Grundlage für den Schutz der Kunden und die Verbesserung der Produkte fest.