📅 Source : Cyber Security News — 10 juin 2026 (Patch Tuesday)
🔍 Contexte Le chercheur Nightmare Eclipse (également suivi sous les alias Chaotic Eclipse et Dead Eclipse) a publié sur GitHub un exploit proof-of-concept (PoC) nommé RoguePlanet, ciblant une vulnérabilité zero-day non encore référencée par Microsoft dans Microsoft Windows Defender.
⚙️ Nature de la vulnérabilité RoguePlanet exploite une race condition de type TOCTOU (Time-of-Check to Time-of-Use) dans la logique de traitement interne de Windows Defender. Un utilisateur non privilégié peut rediriger une opération fichier effectuée par Defender (qui s’exécute en tant que SYSTEM) via des NTFS junction points, afin d’exécuter du code arbitraire au niveau de privilège le plus élevé (Local Privilege Escalation — LPE).
🎯 Systèmes affectés
- Windows 10 et Windows 11 (canaux stable et Canary Insider Preview), avec le patch de juin 2026 appliqué
- Windows Server : considéré vulnérable à la faille sous-jacente, mais le PoC actuel ne fonctionne pas en raison de l’impossibilité pour les utilisateurs standard de monter des images ISO (prérequis de la chaîne d’exploitation)
🔗 Lien avec des exploits précédents
Cette technique est similaire à celle utilisée dans BlueHammer (CVE-2026-33825, CVSS 7.8, patché en avril 2026), où le moteur de remédiation de Defender effectuait des écritures privilégiées sans verrouillage adéquat de la validation des chemins, permettant la redirection vers C:\Windows\System32.
📋 Campagne de divulgations RoguePlanet est le 7e exploit Defender publié par Nightmare Eclipse depuis début avril 2026, dans une série incluant :
- BlueHammer
- RedSun
- UnDefend
- YellowKey
- GreenPlasma
- MiniPlasma
- RoguePlanet
Cette campagne est décrite par des chercheurs en sécurité comme une action de représailles suite à des différends avec Microsoft concernant la divulgation responsable et des résiliations de compte.
🚨 Exploitation active Les chercheurs de Huntress ont documenté des intrusions réelles utilisant des outils antérieurs de ce chercheur : BlueHammer, RedSun et UnDefend ont été observés dans des chaînes d’attaque en conditions réelles.
📊 Fiabilité de l’exploit Le taux de succès est de 100% sur certaines machines, mais variable selon les environnements en raison de l’instabilité inhérente aux race conditions.
📌 Statut Microsoft Aucun CVE ni advisory public n’a été émis par Microsoft pour RoguePlanet au moment de la publication.
🗂️ Cet article est une alerte de sécurité combinant une analyse technique d’un exploit zero-day publiquement disponible, avec pour but d’informer les équipes de sécurité de l’existence d’un PoC fonctionnel et de l’absence de patch disponible.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Nightmare Eclipse (unknown) —
TTP
- T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
- T1574.010 — Hijack Execution Flow: ServicesFile Permissions Weakness (Privilege Escalation)
- T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
- T1222.001 — File and Directory Permissions Modification: Windows File and Directory Permissions Modification (Defense Evasion)
IOC
Malware / Outils
- RoguePlanet (tool)
- BlueHammer (tool)
- RedSun (tool)
- UnDefend (tool)
- YellowKey (tool)
- GreenPlasma (tool)
- MiniPlasma (tool)
🟡 Indice de vérification factuelle : 41/100 (moyenne)
- ⬜ cybersecuritynews.com — source non référencée (0pts)
- ✅ 5129 chars — texte complet (15pts)
- ✅ 2 IOC(s) (6pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 4 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : Nightmare Eclipse (5pts)
- ⬜ 0/1 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://cybersecuritynews.com/windows-defender-0-day-exploit-rogueplanet/