Nur wenige Stunden nachdem Microsoft seinen monatlichen „Patch Tuesday“-Patch im Juni 2026 herausgebracht hatte, erschien ein anonymer Forscher namens Chaotic Eclipse oder Nightmare-Eclipse hat seine Bombe platzen lassen: einen neuen funktionalen Exploit gegen das hauseigene Antivirenprogramm von Windows. Codename: RoguePlanet. Der Angriff nutzt einen „Race Condition“-Fehler aus, einen Wettlauf gegen die Zeit im Herzen der Software, um die Rechte eines einfachen Benutzers auf das maximale Niveau zu heben. Diese Veröffentlichung ist Teil eines offenen und erbitterten Konflikts zwischen dem Forscher und dem Redmond-Riesen, dem Missmanagement bei Offenlegungen und Zensur vorgeworfen werden.
Wie funktioniert der RoguePlanet-Exploit eigentlich?
Der Angriff ist schwerwiegend, da er Systeme betrifft, die als sicher gelten und auf denen die allerneuesten Updates installiert sind. RoguePlanet ist Local Privilege Escalation (LPE), was bedeutet, dass ein Angreifer, der bereits eingeschränkten Zugriff auf eine Maschine hat, diese nutzen kann, um die vollständige Kontrolle über sie zu erlangen. Die Methode missbraucht die Art und Weise, wie Microsoft Defender wickelt bestimmte Dateivorgänge ab und ermöglicht so die Umleitung legitimer Antivirenaktionen auf bösartigen Code.
Nightmare Eclipse hat einen neuen Exploit zur Rechteausweitung veröffentlicht: #RoguePlanet.
ThreatLocker Threat Intelligence validierte den Proof of Concept kurz nach der Veröffentlichung. Das folgende Video zeigt die erfolgreiche Ausführung des Exploits während unserer ersten Tests.
Das Team auch…– ThreatLocker (@ThreatLocker) 9. Juni 2026
Der Forscher selbst gibt zu: Der Exploit ist nicht 100 % zuverlässig. „Einmal funktioniert es, ein anderes Mal scheitert es“, erklärte er und gab an, dass er bei bestimmten Konfigurationen eine perfekte Erfolgsquote erzielt habe, während andere widerspenstiger seien. Diese Instabilität ist typisch für Schwachstellen vom Typ „Race Condition“ (TOCTOU). Egal, denn sobald es funktioniert, ist das Ergebnis da: eine Kommandokonsole mit Systemrechtendie Tür offen für alle Exzesse.
Warum trifft diese Reihe von Fehlern Microsoft?
RoguePlanet ist kein Einzelfall. Es ist das neueste Kapitel einer spannenden Saga zwischen Chaotic Eclipse und Microsoft. Der Forscher wirft dem Unternehmen vor, ihn zu demütigen, seine Berichte zu ignorieren, ihn nicht über sein Bug-Bounty-Programm zu bezahlen und sein Konto vom MSRC-Sicherheitsportal zu sperren. Als Vergeltung beschloss er, seine Ergebnisse zu veröffentlichen und übte damit enormen Druck aus auf die Firma. Offensichtlich reichten die von Microsoft installierten Patches zur Behebung der vorherigen Verstöße nicht aus um den Fluss einzudämmen.
In diesem offenen Krieg wurden bereits mehrere andere Exploits veröffentlicht, von denen einige bereits aktiv von Cyberkriminellen genutzt werden. Die Strategie von Microsoft, die diese öffentlichen Enthüllungen verurteilte und rechtliche Schritte ankündigte, scheint das Feuer noch weiter angeheizt zu haben. Das ist eine echte Sicherheitslücke in der Beziehung zwischen dem Verlag und einem Teil der Forschungsgemeinschaft. Die Liste der von Chaotic Eclipse aufgedeckten Exploits wächst weiter:
- BlueHammer (CVE-2026-33825)
- RedSun (CVE-2026-41091)
- Verteidigung aufheben (CVE-2026-45498)
- YellowKey
- GreenPlasma
Welche Konsequenzen ergeben sich für Nutzer und was unternimmt Microsoft?
Das Risiko ist sehr real, da die bisherigen Tools des Forschers bei konkreten Angriffen entdeckt wurden, kann man davon ausgehen, dass RoguePlanet denselben Weg einschlagen wird. Bisher hat Microsoft noch keinen Notfall-Patch veröffentlicht oder dieser Zero-Day-Schwachstelle auch nur eine CVE-Kennung (Common Vulnerabilities and Exposures) zugewiesen.. Redmonds Schweigen ist völlig und deutet auf ein gewisses Unbehagen hin.
Für die Millionen von Windows 10- und 11-Benutzerndie Situation ist besorgniserregend. Ihre Maschinen sind potenziell anfällig, selbst wenn sie auf dem neuesten Stand sind. Unternehmen, die Lösungen zur Zulassungsliste für Anwendungen verwenden, könnten geschützt werden, da sie die anfängliche Ausführung des Exploit-Codes verhindern würden. Für andere gibt es nicht viel zu tun, außer die Microsoft-Kommunikation genau zu überwachen, während sie auf einen rettenden Patch warten.. Eine Situation, die einmal mehr beweist, dass absolute Sicherheit nicht existiert.
Häufig gestellte Fragen (FAQ)
Was ist der RoguePlanet-Exploit?
RoguePlanet ist eine Zero-Day-Sicherheitslücke, die Microsoft Defender unter Windows 10 und 11 betrifft. Sie ermöglicht es einem Angreifer, höchste Administratorrechte (SYSTEM) auf einem Computer zu erlangen und so die volle Kontrolle zu erlangen.
Ist mein Computer gefährdet, wenn ich alle Updates durchgeführt habe?
Ja. Der Exploit wurde speziell getestet und bestätigt, dass er auf vollständig aktuellen Windows 10- und 11-Systemen funktioniert, auch mit Sicherheitspatches vom Juni 2026. Die Existenz eines Patches wurde von Microsoft noch nicht bekannt gegeben.
Wer steckt hinter diesem Fehler?
Ein anonymer Sicherheitsforscher, der unter mehreren Decknamen bekannt ist, darunter Chaotic Eclipse und Nightmare-Eclipse. Die Veröffentlichung der Schwachstellen erfolgt im Rahmen eines öffentlichen Streits mit Microsoft über die Praktiken des Unternehmens zur Offenlegung von Sicherheitslücken.
