RoguePlanet zielt auf Microsoft Defender und missbraucht dort laut Nightmare Eclipse ein Race-Condition-Problem. Der derzeit veröffentlichte Stand des Exploits führt zu einer lokalen Rechteausweitung. Mehrere Sicherheitsforscher überprüften die Funktionsfähigkeit nach der Veröffentlichung und bestätigten, dass sich auf gepatchten Rechnern eine Kommandozeile mit SYSTEM-Berechtigungen starten lässt.
Nach Darstellung des Forschers führte der Exploit ursprünglich sogar zu Remotecodeausführung. Dazu müsse ein Opfer dazu gebracht werden, eine .vhd(x)-Datei auf einem entfernten SMB-Server zu öffnen oder eine SMB-Freigabe zu öffnen. Außerdem habe sich der Ansatz für eine Umgehung von BitLocker nutzen lassen, indem ein speziell entwickeltes Gerät Daten an NTFS.sys sende. Sobald Defender die präparierte Datei lese, werde die bereinigte Datei an einen neuen Speicherort umgeleitet.
Microsoft habe im Mai jedoch Gegenmaßnahmen ausgerollt, die einige dieser Angriffspfade geschlossen hätten. Nightmare Eclipse musste den Exploit deshalb nach eigenen Angaben mit erheblichem Aufwand überarbeiten. Ob RoguePlanet inzwischen auf lokale Rechteausweitung beschränkt ist oder sich erneut in Richtung Remotecodeausführung umbauen lässt, ist laut dem Forscher derzeit unklar.
Der Proof of Concept arbeitet laut Nightmare Eclipse nicht in jeder Situation zuverlässig, wurde aber auf Windows 11 und Windows 10 mit den Juni-2026-Patches getestet. Auf Windows Server funktioniert der PoC demnach nicht. Der Forscher erklärte jedoch, er sei überzeugt, dass alle Windows-Server-Versionen ebenfalls verwundbar seien; als klar geworden sei, dass der PoC auf Windows-Server-Installationen nicht funktioniere, sei es zu spät gewesen, den Exploit noch entsprechend umzubauen. Mit weiterem Aufwand könne der PoC so verfeinert werden, dass er auf allen Systemen funktioniere, so Nightmare Eclipse.
Die Veröffentlichung von RoguePlanet erfolgte kurz nachdem Microsoft Patches für zwei andere von Nightmare Eclipse veröffentlichte Exploits ausgeliefert hatte: GreenPlasma und YellowKey. Diese scheinen den im Juni 2026 geschlossenen Schwachstellen CVE-2026-45586 und CVE-2026-50507 zu entsprechen, also einer Rechteausweitung in CTFMON und einer BitLocker-Umgehung.
Zuvor hatte Microsoft bereits weitere von Nightmare Eclipse offengelegte Lücken behoben, darunter RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498) und BlueHammer (CVE-2026-33825). Diese Schwachstellen wurden laut Quelle bereits aktiv ausgenutzt.
Nightmare Eclipse veröffentlichte die Exploits, nachdem der Forscher Unzufriedenheit mit Microsofts Prozess zur Offenlegung von Schwachstellen und mit dem früheren Umgang des Unternehmens mit seiner Person geäußert hatte. Microsoft reagierte mit dem Hinweis auf verantwortungsvolle Offenlegung und erklärte, man werde rechtliche Schritte gegen Personen verfolgen, die bösartige Cyberaktivitäten ausübten oder Täter unterstützten.
Nachdem diese Äußerungen in der Cybersicherheits-Community Gegenwind ausgelöst hatten, präzisierte Microsoft, es werde nicht gegen Personen vorgehen, die ihre Sicherheitsforschung betreiben oder veröffentlichen. Nightmare Eclipse deutete jedoch an, dass das Unternehmen dennoch rechtliche Schritte gegen ihn eingeleitet habe. Zudem sperrte Microsoft das GitHub-Konto des Forschers. RoguePlanet erschien daraufhin über ein neues Konto mit dem Namen MSNightmare.