В начале июля стало известно о новой критической уязвимости нулевого дня в Microsoft Defender. Проблема, получившая название RoguePlanet, затрагивает пользователей Windows 10 и Windows 11. Согласно опубликованным данным, атакующий может повысить свои привилегии до максимального уровня NT AUTHORITY\SYSTEM, то есть получить полный контроль над устройством.
Детали уязвимости
Исследователь в области безопасности, работающий под псевдонимом MSNightmare, выложил в открытый доступ прототип эксплойта (Proof-of-Concept, PoC). Это означает, что теперь любой желающий может скачать готовый код и попытаться воспроизвести атаку. Подобный шаг резко увеличивает угрозу для корпоративных и частных систем. Эксплойт написан на языке C++ и использует особенности монтирования ISO-образов как часть вектора проникновения.
В основе уязвимости лежит так называемое состояние гонки (race condition). Это ситуация, при которой несколько процессов одновременно обращаются к одному и тому же ресурсу. В случае с Microsoft Defender злоумышленник манипулирует временем выполнения операций сканирования и обработки файлов. В результате защитный механизм срабатывает некорректно, и атакующему удаётся запустить командную строку с правами NT AUTHORITY\SYSTEM.
Уровень доступа NT AUTHORITY\SYSTEM - это наивысшая привилегия в среде Windows. Обладая таким контролем, злоумышленник может выполнить произвольный код, установить постоянное вредоносное ПО, отключить средства защиты и перемещаться по сети, заражая другие устройства. По сути, это открывает путь к полной компрометации инфраструктуры.
Согласно документации PoC, RoguePlanet была протестирована на нескольких конфигурациях. В список вошли системы Windows 10 с обновлениями за июнь 2026 года, а также Windows 11 - как стабильная версия, так и предварительные сборки Canary. На серверных версиях Windows предоставленный прототип не работает, однако исследователь предполагает, что они тоже уязвимы. Просто для эксплуатации потребуется изменить цепочку атак - в первую очередь из-за того, что стандартные пользователи на серверах не могут монтировать ISO-образы.
Особенность состояния гонки в том, что оно не всегда даёт стабильный результат. Успех атаки зависит от системного тайминга и доступности ресурсов. Тем не менее MSNightmare сообщает, что на определённых системах после нескольких попыток эксплойт срабатывает почти со 100% надёжностью. Это означает, что практическая эксплуатация вполне реалистична, особенно если злоумышленники доработают метод.
Публикация готового кода на GitHub значительно повышает риск реальных атак. Теперь киберпреступники могут адаптировать PoC под свои нужды, превратив его в автоматизированный инструмент для повышения привилегий после первоначального взлома. Особенно уязвимыми оказываются организации, которые полагаются на Microsoft Defender как на единственное или основное средство защиты. Пока официальный патч не выпущен, им придётся искать обходные меры.
Стоит отметить, что подобные уязвимости в продуктах Microsoft не единичны. Состояние гонки - распространённый класс ошибок, связанный с распараллеливанием процессов. Однако встроенный защитник Windows используется на миллионах устройств по всему миру, поэтому любая брешь в нём привлекает внимание как исследователей, так и злоумышленников. Сейчас главная рекомендация для администраторов - внимательно следить за обновлениями от Microsoft и при возможности ограничить права стандартных пользователей на монтирование образов. Кроме того, стоит использовать дополнительные средства мониторинга событий безопасности, чтобы вовремя замечать попытки эксплуатации.
В конечном счёте RoguePlanet - яркий пример того, как даже хорошо зарекомендовавший себя продукт может содержать скрытые дефекты. А открытый исходный код эксплойта превращает теоретическую угрозу в реальную. Пользователям и компаниям остаётся лишь ждать официального исправления и временно усиливать другие механизмы защиты. Ситуация напоминает о том, что в кибербезопасности никогда нельзя расслабляться, даже если система обновлена до последней версии.
Ссылки
