Месть продолжается: хакер уронил RoguePlanet и GreatXML через час после патчей Microsoft

Эксплойт RoguePlanet позволяет получить системные права выше администратора на полностью обновлённой Windows 10 и Windows 11

В основе RoguePlanet — состояние гонки типа TOCTOU в логике обработки файлов Защитника Windows

Срабатывание RoguePlanet нестабильно и зависит от конкретной конфигурации системы

Эксплойт GreatXML обходит BitLocker через специально подготовленный файл в разделе восстановления Windows

RoguePlanet — уже седьмой по счёту открытый proof-of-concept в этой кампании против Microsoft, начавшейся в апреле 2026 года

С момента своего появления на сцене информационной безопасности Nightmare-Eclipse (он же Chaotic-Eclipse, в части источников упоминается и как Dead Eclipse), пожалуй, стал самой большой занозой для Центра реагирования на угрозы безопасности Microsoft (MSRC). Затяжное противостояние между Редмондом и недовольным исследователем получило на этой неделе пару новых глав благодаря публикации эксплойтов RoguePlanet и GreatXML. И что особенно болезненно для Microsoft — обе утечки появились буквально через считанные часы после июньского «вторника обновлений».

Источник изображения — Getty Images

RoguePlanet: системные права на полностью пропатченной системе

RoguePlanet — пожалуй, самый опасный из двух, поскольку он использует очередную уязвимость в Защитнике Windows (Windows Defender) для получения привилегий уровня SYSTEM. Это позволяет выполнять команды с уровнем доступа даже выше, чем у обычного администратора. Практический механизм прост: достаточно обманом заставить пользователя запустить скрипт — и этот скрипт получит полный доступ к машине, открывая возможность выкачивать любые данные, удерживать в системе вредоносное ПО для эксфильтрации или выполнять любые другие злонамеренные действия.

Технически в основе RoguePlanet лежит состояние гонки типа TOCTOU (time-of-check to time-of-use — «проверка в одно время, использование в другое») во внутренней логике обработки файлов Защитника. По описанию автора, гонка возникает между монтированием ISO и работой механизма теневого копирования томов (Volume Shadow Copy). Поскольку эксплойт завязан на тайминги, точные условия его срабатывания не гарантированы на каждой машине жертвы. Сам Eclipse признаёт, что на одних установках добивался стопроцентного успеха, тогда как на других эксплойт «с трудом запускался».

Примечательно, что Eclipse описывает и более раннюю версию атаки, которая приводила не просто к локальному повышению привилегий, а к удалённому выполнению кода — через файл .vhd(x), открытый на удалённом SMB-сервере. Майские смягчающие меры Microsoft перекрыли часть этих векторов, и исследователю пришлось переписывать эксплойт заново, что заняло заметно больше сил, чем он рассчитывал. На текущий момент остаётся открытым вопрос, ограничивается ли RoguePlanet локальным повышением привилегий или его можно переработать обратно под удалённое выполнение кода.

Автор подчёркивает, что RoguePlanet работает на полностью обновлённой системе Windows, включая свежий пакет за июнь 2026 года. Независимые исследователи подтвердили работоспособность эксплойта на актуальных Windows 10 и Windows 11. Windows Server, по словам Eclipse, тоже, вероятно, уязвим, но под него требуется переработка proof-of-concept: в серверных редакциях пользователи по умолчанию не могут монтировать ISO. В текущем виде на серверных версиях эксплойт не запускается. Сама Microsoft заявила, что в курсе RoguePlanet и «активно проверяет обоснованность и потенциальную применимость» этих заявлений.

GreatXML: очередной обход BitLocker

Что касается GreatXML, это очередной обход BitLocker. Он заметно менее грозный, чем прежний YellowKey, так как условия эксплуатации куда жёстче, но всё равно становится конфузом для Microsoft. Чтобы выполнить обход, злоумышленнику необходимо записать специально подготовленный файл «unattend.xml» и каталог «Recovery» в раздел восстановления Windows. Затем, если запущено или ранее запускалось автономное сканирование Защитника Windows (Windows Defender Offline), перезагрузка в среду восстановления откроет защищённый BitLocker диск без каких-либо препятствий.

Требования к злоумышленнику довольно высоки, но сама работоспособность подхода поднимает вопросы о том, какие бэкдороподобные поведения до сих пор присутствуют в BitLocker и в среде восстановления Windows (WinRE). Eclipse полагает, что, возможно, удастся запустить автономное сканирование Защитника вообще без входа в систему, но пока это не точно. Впрочем, не будет ничего удивительного, если завтра он придумает, как это сделать.

Стоит отдельно отметить, что GreatXML — это не то же самое, что недавно закрытый Microsoft обход BitLocker под идентификатором CVE-2026-50507 (9 июня, уровень «важный», CVSS 6.8, требует физического доступа). Это две разные истории, но обе подсвечивают одну общую проблему: давление на механизмы защиты конечных устройств Windows сейчас беспрецедентно публичное, а детали эксплойтов расходятся быстрее, чем организации успевают патчить, тестировать и проверять свою уязвимость.

Часть большой кампании против Microsoft

RoguePlanet — не изолированный инцидент, а уже седьмой публичный proof-of-concept в кампании, которую Nightmare-Eclipse ведёт против Microsoft с начала апреля 2026 года. Предыдущие утечки включают BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585, обход BitLocker), GreenPlasma (CVE-2026-45586, повышение привилегий) и MiniPlasma — регрессию старой уязвимости, впервые закрытой ещё в 2020 году. Июньский «вторник обновлений» Microsoft закрыл GreenPlasma, YellowKey и MiniPlasma.

Тревожнее то, что три более ранних эксплойта — BlueHammer, RedSun и UnDefend — были применены в реальных атаках и попали в каталог известных эксплуатируемых уязвимостей CISA ещё до выхода патчей. По данным исследователей, в части инцидентов злоумышленники, получившие доступ через SSL VPN, использовали эти эксплойты для закрепления вредоносных файлов в каталогах, доступных для записи рядовым пользователям.

Кампания широко воспринимается как акт мести на фоне разрыва отношений исследователя с Microsoft. Eclipse публично заявляет, что компания удалила его учётную запись в портале MSRC, через которую он подавал отчёты об уязвимостях, отклоняла его обращения и не выплатила вознаграждение, которое он считал заслуженным. В конце мая MSRC, в свою очередь, назвал эти публикации zero-day «безответственными».

Поскольку конфликт привёл к блокировке учётной записи Eclipse на GitHub, исследователь перенёс свои proof-of-concept на Church of Malware — относительно неограниченное сообщество и репозиторий кода для эксплойтов. Забавно, однако, что его вторичная учётная запись на GitHub так и осталась онлайн.

Ранее компания угрожала Eclipse судебными исками, но затем отступила. Со своей стороны, Eclipse прежде грозился массово раскрыть уязвимости нулевого дня 14 июля. С тех пор тон тоже смягчился: по его словам, написание RoguePlanet заняло больше времени, чем ожидалось, и он, возможно, возьмёт паузу — так что устраивать 14 июля «День Windowspocalypse», похоже, не станет.