Windows Defender-Schwachstelle RoguePlanet durch Nightmare Eclipse offengelegt

Veröffentlicht am 10. Juni 2026 von Günter Born

WindowsMicrosoft hat zum 9. Juni 2026 einen Schwung Sicherheitslücken, die durch eine Person mit dem Alias Nightmare Eclipse veröffentlicht wurden, gepatcht. Kurz danach hat der anonyme Sicherheitsforscher, der wieder ein GitHub-Konto hat, die nächste 0-day-Schwachstelle "RoguePlanet" offen gelegt.

Passwörter im Active Directory mit PowerShell verwalten. eBook herunterladen » (Sponsored by IT Pro)

Ein Blog-Leser hatte die Information in diesem Kommentar zum Blog-Beitrag Microsoft Security Update Summary (9. Juni 2026) hinterlassen. Es gibt aber diverse Tweets, die neben diesem Artikel der Kollegen von Bleeping Computer auf den Sachverhalt hinweisen.

RoguePlanet

Defender 0-Day RoguePlanet

Nightmare Eclipse weist in diesem GitHub-Post auf die nächste 0-Day-Schwachstelle, die er RoguePlanet getauft hat, im Microsoft Defender hin. Der Exploit nutzt eine Race Condition auf dem System aus, wodurch eine erfolgreiche Ausnutzung ungewiss ist. Nightmare Eclips schreibt, dass er auf einigen Rechnern eine Erfolgsquote von 100 % erzielen konnte, während der Exploit auf anderen Systemen nur schwer funktionierte.

Jedenfalls hat Nightmare Eclipse gewartet, bis die Juni 2026-Patches durch Microsoft freigegeben wurden, um dann auf voll gepatchten Windows-Systemen zu testen. Nach seinen Aussagen funktioniert die Ausnutzung sowohl unter Windows 11 als auch unter Windows 10. Testet habe er den Exploit unter Windows 11 (offizieller Kanal und Canary Channel) und unter Windows 10 mit installiertem Patch vom Juni 2026.

Derzeit funktioniert das Proof of Concept unter Windows Server nicht, da dort ein Standardbenutzer kein ISO-Image mounten kann. Nightmare Eclipse geht aber davon aus, dass der Angriff mit einem modifizierten Proof of Concept auch unter allen Windows Server-Installationen funktioniert.

Der Exploit bewirkt, dass ein von einem Standardnutzer gestarteter Prozess über eine Race-Condition-Sicherheitslücke im Microsoft Defender eine Eingabeaufforderung mit SYSTEM-Rechten öffnen kann.

RoguePlanet-PoC

Nightmare Eclipse hat auf GitHub obigen Screenshot mit zwei Fenstern einer Eingabeaufforderung geteilt. Die Eingabeaufforderung im Hintergrund links läuft mit normalen Standardbenutzerrechten und protokolliert die Versuche des Exploits. Bei Erfolg wird dann ein zweites Fenster mit einer Eingabeaufforderung (im Screenshot im Vordergrund) geöffnet, die SYSTEM-Rechte besitzt.

Die Sicherheitsforscher von ThreatLocker haben eigene Tests durchgeführt und bestätigten gegenüber Bleeping Computer, dass der Exploit auch auf vollständig gepatchten Windows-11-Systemen mit installiertem KB5094126 funktioniert.

Zusätzliche Erklärungen von Nightmare Eclipse

Auf Blogspot veröffentlicht Nightmare Eclipse zusätzliche Informationsschnipsel. Dort erklärt Nightmare Eclipse, dass RoguePlanet ursprünglich als Sicherheitslücke zur Ausführung von Remote-Code entwickelt wurde. Er sollte die Verarbeitung von Dateien, die auf entfernten SMB-Freigaben gehostet werden, durch Microsoft Defender ausnutzen. Durch Änderungen seitens Microsoft wurde dieser Ansatz aber nutzlos, wodurch obiger PoC entstand.

In diesem Blog-Post gibt Nightmare Eclipse übrigens so etwas wie eine Entwarnung zum 14. Juli 2026. Er wolle zu diesem Datum keine 0-Days in großem Umfang veröffentlichen. RoguePlanet hat viel mehr Zeit in Anspruch genommen als erwartet, und er wolle jetzt eine Pause einlegen. Die neuerliche Aktion von Nightmare Eclipse hat auch verhaltene Kritik von Sicherheitsforschern wie hier ausgelöst, wo von fehlender Diplomatie die Rede ist.

Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse
Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung
Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg"
BlackHat 2026 in Vegas: Tritt das MSRC gerade in das nächste Fettnäpfchen?
Windows: Details zur Bitlocker-Schwachstelle "Bitskrieg"

Dieser Beitrag wurde unter Problem, Sicherheit, Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

2 Kommentare zu Windows Defender-Schwachstelle RoguePlanet durch Nightmare Eclipse offengelegt

  1. Giesama sagt:
    10. Juni 2026 um 23:26 Uhr

    Na, die Frage die ich mir hier stelle, hat Microsoft ihn denn nun bezahlt oder die Exploids einfach so gepatched? Falls nicht, hat sich an der Situation ja nichts geändert. Auch hier hätte Microsoft wohl wieder die Lücke nicht anerkannt und im späteren Verlauf einfach so gepatched. Falls doch, schwierig. Leider keine Infos darüber.

    Antworten
  2. Trillian sagt:
    11. Juni 2026 um 00:07 Uhr

    Moin @ All!
    Gerade auf meinem Testsystem (Windows 10 IoT Enterprise LTSC 21H2 / Patchlevel Juni 2026) ausprobiert:
    Nach dem Herunterladen der RoguePlanet.exe wurde diese sofort durch den Defender in die Quarantäne verschoben. Nach Anlegen einer Ausnahmeregel im Defender wurde die Exe unter normalen Standardbenutzerrechten gestartet. Bei dem Versuch den Exploid auzuführen schob der Defender zwei Elemente (Virus:DOS/EICAR_Test_File # Exploit:Win32/DfndrRugPlnt.BB) in die Quarantäne. Die Exploid-Ausführung war somit letztendlich nicht erfolgreich.

    Systeminfo's Defender:
    Antimalware-Clientversion: 4.18.26050.15
    Modulversion: 1.1.26050.11
    Antiviren-Version: 1.453.21.0
    Antispyware-Version: 1.453.21.0

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.