Windows Defender-Schwachstelle RoguePlanet durch Nightmare Eclipse offengelegt

WindowsMicrosoft hat zum 9. Juni 2026 einen Schwung Sicherheitslücken, die durch eine Person mit dem Alias Nightmare Eclipse veröffentlicht wurden, gepatcht. Kurz danach hat der anonyme Sicherheitsforscher, der wieder ein GitHub-Konto hat, die nächste 0-day-Schwachstelle "RoguePlanet" offen gelegt.

Ein Blog-Leser hatte die Information in diesem Kommentar zum Blog-Beitrag Microsoft Security Update Summary (9. Juni 2026) hinterlassen. Es gibt aber diverse Tweets, die neben diesem Artikel der Kollegen von Bleeping Computer auf den Sachverhalt hinweisen.

RoguePlanet

Defender 0-Day RoguePlanet

Nightmare Eclipse weist in diesem GitHub-Post auf die nächste 0-Day-Schwachstelle, die er RoguePlanet getauft hat, im Microsoft Defender hin. Der Exploit nutzt eine Race Condition auf dem System aus, wodurch eine erfolgreiche Ausnutzung ungewiss ist. Nightmare Eclips schreibt, dass er auf einigen Rechnern eine Erfolgsquote von 100 % erzielen konnte, während der Exploit auf anderen Systemen nur schwer funktionierte.

Jedenfalls hat Nightmare Eclipse gewartet, bis die Juni 2026-Patches durch Microsoft freigegeben wurden, um dann auf voll gepatchten Windows-Systemen zu testen. Nach seinen Aussagen funktioniert die Ausnutzung sowohl unter Windows 11 als auch unter Windows 10. Testet habe er den Exploit unter Windows 11 (offizieller Kanal und Canary Channel) und unter Windows 10 mit installiertem Patch vom Juni 2026.

Derzeit funktioniert das Proof of Concept unter Windows Server nicht, da dort ein Standardbenutzer kein ISO-Image mounten kann. Nightmare Eclipse geht aber davon aus, dass der Angriff mit einem modifizierten Proof of Concept auch unter allen Windows Server-Installationen funktioniert.

Der Exploit bewirkt, dass ein von einem Standardnutzer gestarteter Prozess über eine Race-Condition-Sicherheitslücke im Microsoft Defender eine Eingabeaufforderung mit SYSTEM-Rechten öffnen kann.

RoguePlanet-PoC

Nightmare Eclipse hat auf GitHub obigen Screenshot mit zwei Fenstern einer Eingabeaufforderung geteilt. Die Eingabeaufforderung im Hintergrund links läuft mit normalen Standardbenutzerrechten und protokolliert die Versuche des Exploits. Bei Erfolg wird dann ein zweites Fenster mit einer Eingabeaufforderung (im Screenshot im Vordergrund) geöffnet, die SYSTEM-Rechte besitzt.

Die Sicherheitsforscher von ThreatLocker haben eigene Tests durchgeführt und bestätigten gegenüber Bleeping Computer, dass der Exploit auch auf vollständig gepatchten Windows-11-Systemen mit installiertem KB5094126 funktioniert.

Zusätzliche Erklärungen von Nightmare Eclipse

Auf Blogspot veröffentlicht Nightmare Eclipse zusätzliche Informationsschnipsel. Dort erklärt Nightmare Eclipse, dass RoguePlanet ursprünglich als Sicherheitslücke zur Ausführung von Remote-Code entwickelt wurde. Er sollte die Verarbeitung von Dateien, die auf entfernten SMB-Freigaben gehostet werden, durch Microsoft Defender ausnutzen. Durch Änderungen seitens Microsoft wurde dieser Ansatz aber nutzlos, wodurch obiger PoC entstand.

In diesem Blog-Post gibt Nightmare Eclipse übrigens so etwas wie eine Entwarnung zum 14. Juli 2026. Er wolle zu diesem Datum keine 0-Days in großem Umfang veröffentlichen. RoguePlanet hat viel mehr Zeit in Anspruch genommen als erwartet, und er wolle jetzt eine Pause einlegen. Die neuerliche Aktion von Nightmare Eclipse hat auch verhaltene Kritik von Sicherheitsforschern wie hier ausgelöst, wo von fehlender Diplomatie die Rede ist.

Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse
Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung
Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg"
BlackHat 2026 in Vegas: Tritt das MSRC gerade in das nächste Fettnäpfchen?
Windows: Details zur Bitlocker-Schwachstelle "Bitskrieg"

Dieser Beitrag wurde unter Problem, Sicherheit, Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

31 Kommentare zu Windows Defender-Schwachstelle RoguePlanet durch Nightmare Eclipse offengelegt

  1. Giesama sagt:

    Na, die Frage die ich mir hier stelle, hat Microsoft ihn denn nun bezahlt oder die Exploids einfach so gepatched? Falls nicht, hat sich an der Situation ja nichts geändert. Auch hier hätte Microsoft wohl wieder die Lücke nicht anerkannt und im späteren Verlauf einfach so gepatched. Falls doch, schwierig. Leider keine Infos darüber.

  2. Trillian sagt:

    Moin @ All!
    Gerade auf meinem Testsystem (Windows 10 IoT Enterprise LTSC 21H2 / Patchlevel Juni 2026) ausprobiert:
    Nach dem Herunterladen der RoguePlanet.exe wurde diese sofort durch den Defender in die Quarantäne verschoben. Nach Anlegen einer Ausnahmeregel im Defender wurde die Exe unter normalen Standardbenutzerrechten gestartet. Bei dem Versuch den Exploid auzuführen schob der Defender zwei Elemente (Virus:DOS/EICAR_Test_File # Exploit:Win32/DfndrRugPlnt.BB) in die Quarantäne. Die Exploid-Ausführung war somit letztendlich nicht erfolgreich.

    Systeminfo's Defender:
    Antimalware-Clientversion: 4.18.26050.15
    Modulversion: 1.1.26050.11
    Antiviren-Version: 1.453.21.0
    Antispyware-Version: 1.453.21.0

    • wolfi sagt:

      würde darauf hindeuten, dass die signatures vom defender upgedatet wurden. kann mir aber vorstellen, dass es andere exes geben wird, die er nicht erkennt

  3. Anonym sagt:

    Auf meinem Testsystem hat Firefox den Download schon abgelehnt. Der Defender hat dann die Zip-Datei direkt einkassiert. Die extrahierte .exe dann auch nochmal. Im normalen Terminalfenster aufgerufen gab es dann diesen "MpCleanCallbackFunction called." bis eine VolumeShadowCopy angelegt und gefunden wurde. Dann noch ein paar "MpCleanCallbackFunction called." und das wars. Die .exe hielt sich imTaskmanager noch mit 30% CPU Last, aber es passierte nichts weiter. Kein Zugriff auf Festplatte oder Netzwerk. Liess sich dann problemlos abschiessen.
    Das Juni-Update für Windows 10 wurde gestern installiert. Heute noch kein weiteres Update geladen.
    Nachtrag:
    Dann jetzt doch nochmal nach Updates suchen lassen und Security Intelligence-Update aktualisieren lassen (jetzt 1.453.35.0)
    Danach nochmal die .exe gestartet. Zunächst wieder die "MpCleanCallbackFunction called."
    Dann aber "New volume shadow copy detected : \Device\HarddiskVolumeShadowCopy3"
    "Failed to open volume shadow copy, error : 0xC000003A"
    Und der Defender kommt mit einer Meldung "Microsoft Defender Antivirus hat VirusDOS/EICAR_Test_File in wermgr.exe gefunden. Starten Sie Ihr Gerät neu."

    Da wurde also dran gearbeitet.

    • Anonym sagt:

      Wenn man einen bekannten PoC Code in die aktuellen Virenerkennungen Definitionen einpflegt, dann löst das natürlich nicht das eigentlich zugrundeliegende Problem.

      • Anonym sagt:

        Zumal ich von dem PoC auch nicht wirklch angegriffen werde. Und vom EICAR Testvirus schon sowieso nicht.

        Mir ging es eher darum, dass sich das Verhalten nach dem Update geändert hat. Lustigerweise hätte der Rechner den EICAR schon vorher finden müssen. Also war der PoC vorher noch gar nicht so weit gekommen, den zu platzieren.
        Nach dem Update aber schon. Es trifft ja angeblich auch nicht jeden Rechner gleich stark. Und ich weiss nicht, wovon das abhängt.
        Bis es eine wirkliche Lösung für den Fehler gibt, kann es ja ohnehin noch etwas dauern.
        Darum dreht sich ja das ganze Theater aus zerstörtem Vertrauen, Diplomatie und verantwortungsvollem Umgang mit solchen Lücken.

      • Anonym sagt:

        Wurde wohl Beides gemacht und die Signaturen helfen auch bei Geräten, die das Sicherheitsupdate verzögert bekommen.

        • Anonym sagt:

          Der veröffentlichte PoC greift niemanden an, dessen Einfügen in Signaturen erhöht die Sicherheit nirgends. In the wild kommt tatsächlich problematischer Code dann ganz anders verpackt…

          • Anonym sagt:

            Ich weiß ja nicht, ob ich nicht irgendwo falsch abgebogen bin, aber will ich z.B. in einer Firma wirklich, dass jeder Standardbenutzer ausprobieren kann, ob er eine System-Shell öffnen kann?

            • User007 sagt:

              Frag' für 'nen Freund:
              Is' das hier ein Diskurs mit sich selbst?

              • Anonym sagt:

                Nein, es gibt halt nur mehrere, die Anonym sind bzw sich so nennen. Das kann tatsächlich verwirren. Ich werde mich dann besser jetzt zurück halten. Aus meiner Sicht ist dazu ohnehin erstmal alles gesagt.

                • User007 sagt:

                  "Ich werde mich dann besser jetzt zurück halten."
                  Sorry, genau darum geht's ja nicht und das ist auch nicht gewünscht/erforderlich!
                  Aber warum kann man nicht einfach eine abweichende Eigenbenennung nutzen, wenn sich offensichtlich ein "Name" schon in Verwendung befindet?

              • Günter Born sagt:

                Ist, wie der Vorposter schreibt: Es diskutieren mehrere Personen. Ich erlaube ja Kommentare ohne Anmeldung, und bisher ohne Name und E-Mail-Adresse. Funktionierte 19 Jahre, die Leute haben sich einen Nick gegeben und gut war. Wird nun aber der Anonyme-Kommentarmodus exzessiv genutzt und der Überblick geht verloren. Ich habe daher heute die Kommentierung im Blog so umgestellt, so dass zum Kommentieren Name (kann ein Unique Nick-Name sein) und E-Mail-Adresse (SPAM-Mail geht auch) erforderlich ist, geht scheinbar nicht anders, leider.

                PS: Die Kommentare von Leuten, die meinen, einen bereits vorhandenen Nick missbrauchen zu müssen oder den Nick "Anonym" wählen, werden von mir ab sofort gelöscht.

                • User007 sagt:

                  Na ja, "E-Mail-Adresse" wird ja den hier Lesenden nicht angezeigt (oder entgeht mir da was?) und nur die gleiche "Namen"swahl befördert ja – zumind. bspw. bei mir – die "Verwirrung".
                  Find's halt nur wenig nachvollziehbar, was da so schwer dran ist von hier bereits länger verwendeten "Benennungen" abweichend einen "uniquen" Namen für die Beitragsveröffentlichung zu nutzen. 🤷‍♂️
                  Oder ist nur stumpfe Sturheit?

            • Techie sagt:

              Du willst in einer Firma auch kein OS einsetzen, das solche Lücken hat, aber interessiert das irgendjemanden in der Firma wirklich? Hat jemand in Deiner Firma bereits Druck ausgeübt bei Microsoft, damit diese Lücke jetzt Out-of-Band sofort geschlossen wird?

              Ein PoC (Proof of Concept) ist eine speziell explizit für die Demonstration dieser Lücke erstellte Datei. Diese Datei, und nur diese, erkennt jetzt eine Signatur. Jede wirklich bösartige Variante dies Angriffs wird ganz sicher nicht auf die eine bestimmte PoC Signatur matchen.

              • Froschkönig sagt:

                Die eigentliche Lücke wird sicher bald geschlossen, Defender kann sich ja jederzeit selbst updaten, ganz ohne Patchday. Aber schon jetzt wird die POC-Exploit-Datei von Defender und vielen anderen Antiviren erkannt und gesperrt, die Gefahr ist also zumindestens für den Original-Exploit gebannt, Skriptkiddies kommen damit schonmal keinen Millimeter weiter. Musst schon den Exploit neu kompilieren, dass eine andere Dateisignatur dabei raus kommt.

  4. mw sagt:

    Man kann sich über mangelnde (?) Diplometie streiten aber völlig unstrittig ist doch, daß Microsft bezüglich Security absolut nicht vertrauenswürdig ist, weder der produzierte Code hat Qualität noch der Umgang mit Vulnerabilities. Mit anderen Worten: Microsoft hat total verkackt. Habe fertig mit dieser Crapware!

    • Carl Breen sagt:

      Habe fertig mit dieser Crapware!

      Die Frage ist dann warum nicht auf Linux, und wenn auf Linux, warum dann hier im Windows-Thema?

      Anyway, zurück zum Topic des Artikels:
      Vom YellowKey PIN bypass war dann auf dem Blog nicht mehr viel übrig (lol platte wiedereinbauen mit malware, bei Evil Maid hilft auch kein Bitlocker, out of scope), auch die große Nummer für den 14. July wurde ja schnell wieder mit fadenscheinigen Gründen abgelehnt (Fieber, Wochen nichts gegessen und getrunken(!) [sic]).

      Klar ein Genie und ein guter Sicherheitsforscher, aber veralbern kann ich mich alleine. Ich denke er/sie wird noch ein paar tolle CVEs finden, aber die große Nummer wird das nicht mehr. Von der Persona hört man höchsten noch 1-2 Patchdays, dann ist das Pulver verschossen.

      Und dennoch meinen Dank für die CVEs die jetzt zwangs-gefixt werden.

    • Anonym sagt:

      Ach darum gings hier.

      Und ich dachte um einen Lappen mit einer großen Fresse, dessen Angriff auf Microsoft und unbedarfte Benutzer wie angekündigt absichtlich kurz nach dem Patchday so ziemlich ins Wasser gefallen ist was aber laut dessen Aussage nur daran liegt, das MS den Defender absichtlich gegen die bisher unbekannte Lücke(!) gehärtet hätte und zwar nur wegen ihm und der weiterhin behauptet, das MS nicht nur seinen GitHub sondern auch seinen GitLab Account gesperrt hätte, gleichzeitig alleine aber nicht in der Lage war einen eigene Git-Server aufzusetzen.

      Wo bleibt das Brechen der BitLocker Verschlüsselung? Wo bleibt die Remote-Code Exekution? Mit dem Messias Komplex schlimmer als bei mir und der offensichtlichen krankhaften Paranoia womöglich durch den akuten Schlafmangel ausgelöst würde ich den zum Selbstschutz eher mal Zwangseinweisen!

    • Gänseblümchen sagt:

      Wenn das Crap ist, hast du eine Alternative, die nicht Crap ist? Linux ist doch genauso verbuggt, und das TROTZ dass da jeder in den Code rein schauen kann. Behaupte nicht, das wäre anders, ich sehe doch täglich die auch da rein schwappenden CVEs mit Lücken, wo dann festgestellt wird, wieviele Jahre (teils mehr als ein Jahrzehnt) die unentdeckt blieben. Wo sogar nachweislich Schadcode in die Community eingeschleust wurde, siehe z.B. xz. "Community-Repos" wo es selten bis nie Updates gibt, usw.

      Da bleib ich doch bei dem Crap, der für mich funktioniert, denn ich inundauswendig kenne, wo ich weiß, wie ich was machen muss dass es geht.

      Ansonsten treibt ihr mich noch in die Arme von Apple (so ein 8GB NEO als Einstiegsdroge für 600 Euro…), da wird nämlich nicht so ein Geschrei um jedes Sicherheitsupdate gemacht. Und dort habe ich die Erwartungshaltung – und mein Vorurteil ist – dass das dort auch alles so einfach funktioniert wie ein Rasierapparat (das war Jobs Anspruch an den ersten Mac, deswegen auch nur eine Maustaste).

      • Günter Born sagt:

        Wir sollten die Diskussion Windows versus Linux hier nicht weiter führen. Ich denke, wir sind uns einig, dass es in beiden Betriebssystemen Schwachstellen gibt. Führt hier auch nicht weiter – und ein jeder kann das OS seiner Wahl (sofern er die Option hat) einsetzen. Danke für das Verständnis.

        • kheldorn sagt:

          Damit sich die BSD-Jünger nicht ganz vernachlässigt fühlen gibt es ja nun auch https://bumsrake.de/ (ja, toller Name, die Seite ist noch beeser) zu CVE-2026-45257. ;)

        • Froschkönig sagt:

          Ihnen ist das klar, mir ist das klar, und noch ein paar anderen hier ist das klar, aber die Diskussion kommt immer wieder, weil es halt diese Unverbesserlichen gibt, die glauben die Weisheit mit Löffeln gefressen zu haben, weil sie es geschafft haben, ein Linux von einer Iso hochgezogen zu haben.

          Wissen Sie, wie lange ich diese Flamewars schon kenne und geduldig argumentiere? Diese Flamewars gab es schon in den 1980ern, Computermarke X versus Y, Betriebssystem G versus H, Anwendung/Spiel/… A versus B, you name it, eigentlich habe ich das sowas von satt, eigentlich ist das total langweilig. Ignorieren hilft leider auch nicht, "die" glauben dann erst recht, dass sie andere nerven müssen. Dem einen oder anderen kann man aber die Augen öffnen, wenn man gute Argumente findet, die nicht zu entkräftigen sind. Oder man muss sie loswerden, das kann aber nur jemand mit "Hausrecht".

          • mw sagt:

            Mir ist nicht klar, was Du damit sagen willst. Es gibt Softwareentwickler, die ihre Arbeit ernst nehmen und Vulnerabitities rasch fixen (so es ihre Zeit erlaubt) und es gibt vorwiegend Unternehmen, denen die Nutzer völlig egal sind und nur an die stetige Steigerung ihrer Gewinne denken. Leider gehört MS heute zu letzteren.

  5. Daniel Blum sagt:

    Er wird uns alle Retten und Microsofts Produkte werden die sichersten der Welt sein /sarcasm out

  6. Anonym sagt:

    Schon interessant wie jetzt hier der Sicherheitsforscher in den Kommentaren gerade zu persönlich angegangen und verunglimpft wird, er scheint also wohl einen Nerv getroffen zu haben.

    • Luzifer sagt:

      Ein Sicherheitsforscher der weil er kein Bugbounty bekommen hat eingeschnappt ist und so reagiert und exploits raushaut ohne sich an die Protokolle zu halten, dabei Millionen von Usern gefährdet… sorry… früher hätte man sowas geteert und gefedert ;-P

      • Carl Breen sagt:

        Ego ist ein riesen Problem in IT, gerade den Kommentarspalten. Meine damit auch nicht dich, Luzifer ;)

        Ein Grund warum ich das Heise-Forum meide.

      • R.S. sagt:

        Er hat sich doch beim ursprüngliche gemeldeten Exploit an die Protokolle gehalten.

        Und wie man im Betrag liest, hat er auch wieder ein Github-Konto.
        Das hätte er sicher nicht, wenn Microsoft nicht eingesehen hätte, das der Umgang mit Nightmare Eclipse nicht i.O. war.

        • Carl Breen sagt:

          Du meinst das, welches sie jeden Moment wieder sperren wenn sie wollen? Neuen Account aufmachen != Zurücknahme der Accountsperre.

          Der alte account ist nach wie vor spurlos gelöscht als hätte er außerhalb des Internet-Archivs nie existiert. Da er jetzt aber auf 3 weiteren Github und Gitlab alternativen ist machen sie sich damit nur lächerlich.

          Und zum an protokolle halten: Nein hat er nicht. Er wollte Geld auf einer Platform. Bekam er nicht. Vielleicht so dusselig ein NDA zu signen.

          Eich echter whitehat meldet es gratis und macht es nach 90 Tagen der Welt publik. Ohne Forderungen. Luzifer hat einfach recht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.