Враг под личиной друга
Хакеры получили новый инструмент под названием RoguePlanet для взлома ПК на базе Windows, пишет профильный портал Bleeping Computer. Это эксплойт, который использует огромную брешь в антивирусе Defender, разработанном Microsoft и встроенном в Windows.
Речь об уязвимости, найденной ИБ-специалистом под псевдонимом Nightmare Eclipse в мае 2026 г. Она позволяет использовать Defender для получения прав администратора, притом наивысшего уровня System, после чего у хакера появляется полный доступ к компьютеру.
Брешь присутствует как минимум в двух операционных системах Microsoft – Windows 10 и Windows 11, и закрыть ее софтверный гигант пока не успел. Иными словами, даже если установить самые последние апдейты для обеих систем (для Windows 10 такие апдейты будут платными), уязвимость никуда не денется.
Хочешь спрятать – положи на видное место
Между Microsoft и Nightmare Eclipse в мае 2026 г. назрел серьезный конфликт. Исследователь кибербезопасности опубликовал в Сети информацию сразу о нескольких важных уязвимостях в Windows, после чего корпорация заявила, что таких «публикаторов» стоит преследовать, чем вызвала широкий общественный резонанс. К моменту выхода материала никаких санкций с ее стороны пока не последовало, однако Nightmare Eclipse, по всей видимости, решил немного поиздеваться над ней.
За эксплойтом RoguePlanet стоит он же, и в начале июня 2026 г. он разместил его исходный код прямо на GitHub – репозитории, которым с 2018 г. владеет Microsoft. Там же находится скомпилированный исполняемый файл – приложение .exe, полностью готовое к использованию.
Не испытывая доверия к Microsoft и ожидая, что хранилище на GitHub будет удалено, ИБ-специалист поместил исходники RoguePlanet на другом схожем сервисе – GitLab, который юридически не связан с Microsoft. А для пущей надежности отдельную копию он выложил в своем личном облаке.
Microsoft пыталась
Об уязвимости в Defender Nightmare Eclipse сообщил в мае 2026 г., после чего Microsoft попыталась закрыть ее, по крайней мере, в Windows 11. Попытка эта, впрочем, успехом не увенчалась, поскольку появившийся в июне 2026 г. эксплойт RoguePlanet имеет очень высокую степень работоспособности.
Это доказала ИБ-компания ThreatLocker. Как пишет Bleeping Computer, она протестировала RoguePlanet на нескольких компьютерах с Windows 11 и всеми доступными на тот момент апдейтами. Как показала практика, в некоторых случая вероятность успешного срабатывания достигала 100%.
Иными словами, буквально каждый запуск исполняемого файла RoguePlanet дает пользователю наивысшие права в системе. Но такое происходит не на всех ПК – согласно статистике ThreatLocker, на некоторых их них вероятность успешного срабатывания эксплойта ниже, но она по-прежнему очень высока.
Защиты нет
Уберечься от RoguePlanet к моменту выхода материала возможностей было немного. Microsoft пока не успела выпустить патч, который наконец-то сможет полностью закрыть уязвимость, да и не у всех пользователей будет возможность установить его.
Некоторые владельцы ПК на Windows принудительно отключают обновления системы, чтобы не получать кривые апдейты, выпуск которых Microsoft, похоже, поставила на конвейер. Те же, кто не пошел на этот шаг, в мае 2016 г. столкнулись с тем, что очередной патч сломал систему обновления Windows, после чего новые апдейты перестали приходить и устанавливаться.
По данным ThreatLocker, в настоящее время существует единственный способ защититься от RoguePlanet, но он больше подходит для компаний, а не для частных пользователей. Речь о политике разрешенных приложений, когда используется «белый список» программ, допущенных к запуску на компьютерах.
Поделиться
