Microsoft erneut unter Druck: Verärgerter Forscher leakt weiteren Defender-Exploit

Der Sicherheitsforscher Chaotic Eclipse (auch bekannt als Nightmare Eclipse) ist bereits für seinen Zoff mit Microsoft sowie mehrere geleakte Zero-Day-Exploits für Windows bekannt. Pünktlich zum Juni-Patchday hat er nun noch einmal nachgelegt und einen Rogueplanet genannten Exploit für den Microsoft Defender offengelegt(öffnet im neuen Fenster), mit dem sich Angreifer Systemrechte verschaffen können.

Veröffentlicht wurde der neue Exploit abermals auf Github(öffnet im neuen Fenster). Zwar hatte Microsoft das Github-Konto von Chaotic Eclipse vor einigen Wochen gesperrt, doch der Forscher legte für Rogueplanet ein neues Konto an. Um einer erneuten Sperrung zuvorzukommen, hostet er seine Exploits inzwischen aber auch noch auf einer eigenen Plattform(öffnet im neuen Fenster).

Laut Beschreibung basiert der Rogueplanet-Exploit auf einer Race Condition. Dadurch soll der Angriff nicht immer zuverlässig funktionieren, auf einigen Systemen wird aber wohl dennoch eine Erfolgsrate von 100 Prozent erreicht. Auch bei einem Test des Sicherheitsforschers Will Dormann funktionierte der Exploit direkt beim ersten Anlauf, wie Dormann auf Mastodon schreibt(öffnet im neuen Fenster).

Ausnutzen lässt sich der Exploit laut Chaotic Eclipse mindestens unter Windows 10 und Windows 11. Auch die neuen Juni-Patches schützen wohl nicht davor. Der Forscher behauptet, dass Rogueplanet grundsätzlich auch unter Windows Server funktionieren kann. Dafür seien aber noch ein paar Anpassungen erforderlich, die Chaotic Eclipse nach eigenen Angaben selbst kurzfristig nicht mehr vornehmen konnte.

Wie Chaotic Eclipse in seinem Blog(öffnet im neuen Fenster) schildert, zielte er mit Rogueplanet ursprünglich auf eine Schadcodeausführung sowie eine Bitlocker-Umgehung ab. Microsoft soll jedoch während der mehrwöchigen Arbeit am Exploit Änderungen am Defender vorgenommen haben, so dass letztendlich nur noch die Rechteausweitung funktioniert.

Ob sich Microsofts Korrekturen umgehen lassen, ist derzeit noch unklar. Chaotic Eclipse nimmt an, dass sowohl der Bitlocker-Bypass als auch die Schadcodeausführung durch Anpassungen am Exploit wieder möglich werden könnten. Ob der Forscher diesbezüglich noch einmal nachlegt, bleibt abzuwarten. In seinem Blog schreibt er, er sei von der Arbeit am Rogueplanet-Exploit "völlig erschöpft".

Für den Juli-Patchday plant Chaotic Eclipse nach eigenen Angaben aktuell keine neuen Exploits. Final scheint seine Entscheidung diesbezüglich aber noch nicht zu sein. "Vielleicht mache ich eine Pause, aber ich kann noch nicht mit Sicherheit sagen, was ich im nächsten Monat machen