Nach Angaben von Nightmare-Eclipse wurde „RoguePlanet“ für Windows Defender entwickelt und in Tests auf Windows 11 aus dem offiziellen Kanal sowie den Canary-Builds und auf Windows 10 mit installiertem Patch-Tuesday-Update vom Juni 2026 geprüft. In den GitHub-Hinweisen schreibt der Forscher, die Schwachstelle werde über eine Race Condition ausgenutzt, weshalb der Angriff ein „Treffer oder Fehlschlag“ sei. Wenn er funktioniert, öffnet der Proof of Concept jedoch eine Shell mit SYSTEM-Berechtigungen.
Für Windows Server funktioniert die derzeit veröffentlichte Fassung laut Nightmare-Eclipse nicht, weil Standardnutzer dort kein ISO-Abbild einbinden können. Gleichzeitig behauptet der Forscher, alle Windows-Server-Versionen seien verwundbar, wenn der Exploit so umgebaut werde, dass dieses Hindernis umgangen wird. Eine solche Überarbeitung wolle man aber nicht selbst vornehmen; in den GitHub-Notizen heißt es dazu sinngemäß, man sei mit diesem Fehler fertig.
Der Konflikt mit Microsoft läuft bereits seit drei Monaten und begann mit der Veröffentlichung von „BlueHammer“ im April. Damals trat der Forscher noch unter dem Namen „Chaotic Eclipse“ auf. BlueHammer zielte auf die als CVE-2026-33825 verfolgte Zero-Day-Lücke, eine Time-of-Check-to-Time-of-Use-Schwachstelle im Ablauf der Signatur-Updates von Windows Defender.
Damals drohte der bis heute nicht identifizierte Forscher Microsoft mit weiteren Zero-Day-Veröffentlichungen, offenbar als Reaktion auf die aus seiner Sicht unzureichende Behandlung gemeldeter Schwachstellen. Dieser Ankündigung ließ Nightmare-Eclipse weitere fünf Proofs of Concept folgen: RedSun, UnDefend, YellowKey, GreenPlasma und MiniPlasma. Microsoft schloss BlueHammer mit den Patch-Tuesday-Updates im April. Dennoch wurden BlueHammer sowie RedSun und UnDefend nach der Veröffentlichung der Exploits laut Bericht weiter angegriffen.
Dustin Childs, Leiter für Bedrohungsaufklärung bei Trend Micros Zero Day Initiative, erwartet kein gutes Ende der Situation. Gegenüber Dark Reading sagte er, Kunden würden von solchen Offenlegungen betroffen sein, selbst wenn das „nur“ bedeute, Notfall-Patchprozesse anstoßen zu müssen, statt tatsächlich ausgenutzt zu werden. Microsoft müsse offenkundig an seiner Ansprache gegenüber Forschern arbeiten, wenn es diese zu einer privaten Meldung ihrer Fehler bewegen wolle.
Microsoft reagierte zunächst öffentlich kaum, bezog aber Ende Mai deutlich Stellung. In einem Blogeintrag vom 27. Mai erklärte das Microsoft Security Response Center, die sechs Schwachstellen seien „nicht verantwortungsvoll offengelegt“ worden. Das MSRC verurteilte die Veröffentlichungen und erklärte, unkoordinierte Offenlegungen, die Proof-of-Concept-Code für ungepatchte Schwachstellen in die Hände böswilliger Akteure legten, seien niemals zu rechtfertigen und hätten Folgen in der realen Welt. Die Digital Crimes Unit werde weiter gegen solche Akteure und deren Unterstützer vorgehen und dabei bei Bedarf mit Strafverfolgern weltweit kooperieren.
Diese Stellungnahme stieß unter Sicherheitsforschern laut Bericht auf breite Kritik. Collin Hogue Spears, Senior Director of Solution Management bei Black Duck, sagte Dark Reading, die Fehde wirke wie ein Zusammenbruch koordinierter Schwachstellenoffenlegung, nicht wie wahlloser Vandalismus. Zwar habe Microsoft seine Drohungen später abgeschwächt, nötig sei aber ein belastbarer Offenlegungskanal mit klarer Antwort, einer schnellen und erklärten Entscheidung über Prämien sowie einem ausdrücklichen rechtlichen Schutzraum.
Nach Angaben des Berichts zeigt Nightmare-Eclipse trotz eigener Aussagen über eine Verschlechterung der psychischen und physischen Gesundheit keine Anzeichen, die Veröffentlichungen zu beenden. In dem Beitrag zu „RoguePlanet“ schrieb der Forscher, Microsofts Maßnahmen zum Schutz von Defender vor Angriffen über Pfadumleitungen seien nutzlos. Zudem verfüge man über eine Reihe von Speicherfehler-Schwachstellen in Defender sowie über weitere Schwachstellen in mehreren anderen Komponenten. Microsoft reagierte am Mittwoch zunächst nicht auf eine Anfrage von Dark Reading zum neuen Exploit.