El investigador Microsoft amenazó con eliminar solo la séptima hora de día cero de Windows después del martes de parches.
TL; DR
Chaotic Eclipse RoguePlanet, su séptimo Windows Zero-Day, cayó horas después del parche récord de Microsoft el martes. Proporciona acceso al sistema a máquinas completamente parcheadas.
Chaotic Eclipse, un investigador de seguridad que amenaza a Microsoft con cargos penales, ha lanzado un séptimo exploit de día cero para Windows. Llamado RoguePlanet, otorga a los atacantes privilegios de sistema en máquinas con Windows 10 y 11 completamente parcheadas. El investigador publicó la prueba de concepto horas después de que Microsoft enviara su actualización del martes de parches de junio, que corrige un récord de 200 vulnerabilidades.
RoguePlanet explota una condición de carrera en la lógica de procesamiento interno de Windows Defender. Específicamente, es una vulnerabilidad de tiempo de verificación a tiempo de uso (TOCTOU). Un usuario sin privilegios puede redirigir una operación de archivo realizada por el defensor para ejecutar código controlado por el atacante en el nivel de privilegio más alto, que se ejecuta como sistema.
"La explotación es una condición de carrera, por lo que es un éxito o un fracaso."dice el investigador."Logré obtener una tasa de éxito del 100 % en algunas máquinas, mientras que en otras tenía dificultades para funcionar."
💜 de tecnología de la UE
Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. ¡Regístrate ahora!
La empresa de seguridad ThreatLocker confirmó la vulnerabilidad y publicó un video de demostración. "Nuestro análisis inicial confirma que el exploit de RoguePlanet es efectivo y funciona como se describe.", dijo el director ejecutivo Danny Jenkins. Agregó que las listas blancas de aplicaciones pueden evitar que se implementen exploits.
La prueba de concepto se publicó en un repositorio Git autohospedado después de que el investigador dijera que tanto el repositorio GitHub como el GitLab de Microsoft habían eliminado el trabajo anterior. Es parte de un conflicto creciente. Microsoft invocó su Unidad de Delitos Digitales contra el investigador y revocó el acceso a su cuenta del Centro de Respuesta de Seguridad de Microsoft.
Chaotic Eclipse ha lanzado siete días cero en unos pocos meses: BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma, MiniPlasma y ahora RoguePlanet. El martes de parches de junio de Microsoft solucionó dos de ellos, GreenPlasma y Yellow, pero el resto permanece sin cambios. El investigador dice que las revelaciones son represalias por cómo Microsoft manejó el proceso.
"Pueden limpiar el piso conmigo y hacer todos los juegos infantiles,"El investigador escribe".Me preguntaba si estaba tratando con una gran corporación o con alguien que se divertía viéndome sufrir."
Se indica el tiempo. El parche de junio de Microsoft del martes fue el más grande hasta el momento, reparando 200 vulnerabilidades, incluidas 33 clasificadas como críticas y tres vulnerabilidades de día cero divulgadas públicamente. Los analistas atribuyen el crecimiento en parte a la auditoría de código asistida por IA, que encuentra vulnerabilidades más rápido de lo que los defensores pueden parchearlas. La llegada de RoguePlanet horas después de la actualización récord subraya la brecha: incluso el ciclo de parches más grande en la historia de Microsoft quedó inmediatamente obsoleto para ejecutar Windows Defender.
