Nightmare Eclipse beschreibt „RoguePlanet“ als Race-Condition-Schwachstelle in Microsoft Defender. Der Exploit sei nicht in jedem Versuch zuverlässig: Auf manchen Rechnern habe sich eine Erfolgsquote von 100 Prozent erzielen lassen, auf anderen Systemen habe die Ausnutzung dagegen Probleme bereitet, schrieb der Forscher im Repository.
Getestet worden sei die Lücke laut dem Forscher auf offiziellen und Canary-Builds von Windows 11 sowie auf Windows-10-Systemen mit den Sicherheitsupdates vom Juni 2026. Gelingt die Ausnutzung, startet eine Windows-Eingabeaufforderung mit SYSTEM-Rechten.
Die Sicherheitsfirma ThreatLocker erklärte gegenüber BleepingComputer, man habe die Schwachstelle im eigenen Test erfolgreich reproduziert. Demnach funktionierte der Exploit auch auf vollständig gepatchten Windows-11-Systemen mit installiertem Update KB5094126. ThreatLocker veröffentlichte dazu nach eigenen Angaben auch ein Demonstrationsvideo.
Danny Jenkins, CEO von ThreatLocker, sagte gegenüber BleepingComputer, die erste Analyse bestätige, dass der RoguePlanet-Exploit praktikabel sei und wie beschrieben funktioniere. Organisationen, die Anwendungs-Allowlisting einsetzen, könnten die Ausführung des Exploits verhindern; das biete eine wirksame zusätzliche Schutzschicht gegen diesen Angriff.
Nach Darstellung von Nightmare Eclipse war RoguePlanet ursprünglich als Schwachstelle zur Remotecodeausführung entwickelt worden. Ausgangspunkt sei Microsoft Defenders Umgang mit Dateien auf entfernten SMB-Freigaben gewesen. In einem Blogbeitrag erklärte der Forscher, in der frühen Entwicklung sei bestätigt worden, dass es sich um eine Remotecodeausführung handele. Dafür habe ein Angreifer ein Opfer dazu bringen müssen, eine .vhd(x)-Datei auf einem entfernten SMB-Server zu öffnen; bei erfolgreicher Ausnutzung habe Defender eigene Dateien überschrieben, was letztlich zu Remotecodeausführung geführt habe.
Ein weiteres mögliches Angriffsszenario könne ebenfalls zu Remotecodeausführung führen, wenn ein Opfer lediglich zum Öffnen einer SMB-Freigabe gebracht werde und die Einstellungen zur Symlink-Auswertung aktiviert seien. Zugleich schreibt der Forscher, Microsoft habe Defender Mitte Mai stillschweigend gehärtet, indem die API „mpengine!SysIO*“ gepatcht worden sei. Dadurch seien Junction-Angriffe blockiert worden.
Nightmare Eclipse zufolge blieb nach dieser Änderung vorerst offen, ob RoguePlanet auf lokale Rechteausweitung beschränkt ist oder sich doch noch in eine Remotecodeausführung umwandeln lässt. Die Überarbeitung des Exploits, um ihn wieder funktionsfähig zu machen, habe die anderen Szenarien verhindert, schrieb der Forscher.
Die Veröffentlichung steht im Kontext eines länger andauernden Konflikts zwischen Nightmare Eclipse und Microsoft. In den vergangenen Monaten hatte der Forscher bereits mehrere Windows-Zero-Days öffentlich gemacht, darunter BlueHammer, RedSun, GreenPlasma und YellowKey. Einige dieser Zero-Days zielten auf Microsoft Defender, andere auf BitLocker und weitere Windows-Komponenten. GreenPlasma und YellowKey hat Microsoft nach Angaben im Quelltext im Rahmen des Patch Tuesday im Juni 2026 behoben.
Microsoft hatte auf frühere Veröffentlichungen mit dem Hinweis reagiert, man werde mit Strafverfolgungsbehörden zusammenarbeiten, wenn sich Menschen an „böswilligen Aktivitäten beteiligen, die unseren Kunden echten Schaden zufügen“. In der Sicherheitsgemeinschaft wurde dies laut Quelltext vielfach als Drohung gegen den Forscher verstanden. BleepingComputer hat Microsoft um eine Stellungnahme zu dem neuen Zero-Day gebeten; eine Antwort lag zunächst nicht vor.