){kind=small}
)
Um pesquisador de segurança lançou um novo exploit zero-day contra o Windows logo após a Microsoft divulgar seu pacote de atualizações mensais, o Patch Tuesday de junho de 2026. A falha, batizada de RoguePlanet, afeta o Microsoft Defender e permite que um atacante obtenha controle total sobre o sistema operacional sem precisar de permissões de administrador.
O exploit foi publicado por Nightmare Eclipse, também conhecido como Chaotic Eclipse, um pesquisador que nos últimos meses vem revelando seguidas vulnerabilidades em produtos da Microsoft. O RoguePlanet está disponível no GitHub e já foi validado por outros profissionais de segurança.
Nossos vídeos em destaque
Um zero-day é uma vulnerabilidade descoberta em um software antes que o fabricante tenha lançado uma correção para ela. O nome vem do fato de que o desenvolvedor tem zero dias de antecedência para se preparar.
)
No caso do RoguePlanet, o perigo está em o exploit funcionar em máquinas já atualizadas com os patches de junho de 2026, ou seja, usuários que fizeram tudo certo ainda estão vulneráveis.
Como o RoguePlanet funciona
O exploit explora uma race condition no Microsoft Defender. Uma race condition acontece quando dois processos tentam acessar o mesmo recurso ao mesmo tempo, e o sistema não consegue lidar com isso de forma segura.
Basicamente, o Defender lê um arquivo malicioso e, no momento em que tenta "limpar" esse arquivo, o exploit redireciona o arquivo já tratado para um novo caminho no sistema. Esse intervalo mínimo de tempo é o suficiente para que o ataque funcione.
)
O resultado é uma escalada local de privilégios, em inglês local privilege escalation ou LPE. Isso significa que alguém com acesso básico ao computador consegue se tornar SYSTEM, o nível mais alto de permissão no Windows, equivalente a um "superusuário".
De onde o ataque veio
O exploit original era ainda mais perigoso. Antes de a Microsoft lançar mitigações em maio, o RoguePlanet permitia execução remota de código, ou RCE, isso porque a falha também podia ser acionada ao abrir um arquivo .vhd ou .vhdx hospedado em um servidor remoto via SMB.
O SMB é um protocolo de rede usado para compartilhar arquivos entre computadores. Bastava que a vítima abrisse um compartilhamento malicioso para que o ataque se iniciasse sem nenhuma outra interação.Havia ainda a possibilidade de bypass do BitLocker, a criptografia de disco do Windows, usando um dispositivo especializado para gravar dados diretamente no driver NTFS.sys.
)
As correções parciais da Microsoft em maio fecharam essas rotas, mas Nightmare Eclipse reformulou o exploit para continuar funcionando. Por ora, o RoguePlanet está limitado a LPE, mas o pesquisador não descarta que versões futuras possam reintroduzir o vetor de execução remota.
Onde o exploit funciona
O PoC, sigla para proof-of-concept ou prova de conceito, foi testado em máquinas com Windows 10 e Windows 11 com todos os patches de junho aplicados. O Windows Server não é afetado pelo exploit atual, mas o pesquisador acredita que as versões de servidor também sejam vulneráveis em teoria.
Vários outros pesquisadores confirmaram que o RoguePlanet funciona e consegue abrir um prompt de comando com privilégios SYSTEM em sistemas totalmente atualizados.
)
O contexto maior de junho
O Patch Tuesday de junho de 2026 foi um dos maiores já lançados pela Microsoft, com correções para 206 vulnerabilidades, sendo 39 delas classificadas como críticas. Entre os destaques estão três falhas com nota máxima de 9,8 em uma escala de 10, incluindo uma falha no Kernel do Windows que permite execução remota de código sem autenticação.
O pacote também corrigiu o YellowKey e o GreenPlasma, dois exploits anteriores de Nightmare Eclipse, além do MiniPlasma e do HTTP2/Bomb, que pode derrubar servidores web em segundos. O volume crescente de falhas tem sido associado ao uso de inteligência artificial na descoberta de vulnerabilidades. Especialistas alertam que essa tendência deve se intensificar.
A briga com a Microsoft
Nightmare Eclipse afirma revelar as falhas publicamente por discordância com o processo de divulgação responsável da Microsoft e pelo tratamento que recebeu da empresa. A Microsoft pediu que pesquisadores adotem práticas de responsible disclosure e chegou a ameaçar medidas legais, recuando depois da repercussão negativa na comunidade de segurança.
O pesquisador alega que a empresa moveu uma ação legal contra ele mesmo assim. A Microsoft também suspendeu sua conta no GitHub, e o RoguePlanet acabou sendo publicado em uma conta nova, chamada MSNightmare.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
