Planeta Odmetnik pristupa SYSTEM nalogu kroz Windows Defender
Za manje od 24 sata nakon junskog Patch Tuesday-a, sada već poznati istraživač odmetnik pod pseudonimom Nightmare Eclipse objavio je novi zero-day exploit za Microsoft Defender — RoguePlanet — koji omogućava preuzimanje SYSTEM privilegija čak i na potpuno ažuriranim Windows 10 i 11 mašinama. Po njegovim rečima, radi se o race condition propustu, što znači da exploit neće uspeti svaki put, ali je već potvrđen kao funkcionalan na sistemu sa instaliranom KB5094126 zakrpom. Originalno je RoguePlanet, kako Nightmare Eclipse tvrdi, bio remote code execution preko remote SMB share-a i .vhd(x) fajla, ali je Microsoft zakrpio relevantni `mpengine!SysIO*` API sredinom maja, pa je trenutno funkcionalan samo kao lokalna eskalacija privilegija. PoC kod je objavljen na samostalno hostovanom repozitorijumu projectnightcrawler.dev, jer su prethodne zero-day objave istog istraživača (BlueHammer, RedSun, GreenPlasma, YellowKey) više puta brisane sa GitHub-a i GitLab-a na inicijativu Microsofta. Cela priča se odvija u kontekstu tihog rata između dotičnog istraživača i Microsofta već nekoliko meseci — kompanija je u jednom trenutku zapretila saradnjom sa organima vlasti „kada nečija aktivnost nanosi stvarnu štetu korisnicima", što je deo zajednice protumačio kao otvorenu pretnju.
Defender nije samo antivirus program, već centralni bezbednosni sloj Windows endpoint zaštite koji ima SYSTEM-level pristup celom sistemu. Ranjivost tog sloja ga od branioca pretvara u protagonistu napada, a svaki sat bez zakrpe znači visoku izloženost. Za firme kod nas kojima se zaštita svodi na to da je Defender uključen, ceo sistem zaštite pada u vodu.
- Pratiti Microsoft objave u vezi ove zero-day ranjivosti. Ili će je objaviti kroz out-of-band ažuriranje, ili kroz sledeći Patch Tuesday, uz preporuke za hitno ažuriranje na svim mašinama.
- Aktivirati application allowlisting (WDAC, AppLocker ili rešenje drugih proizvođača) gde god je moguće — barem za korisnike sa lokalnim admin pravima
- Razmotriti EDR koji vidi šire od samog Defender-a i prati ponašanje, ne samo potpise i poznate detektore
- Pregledati ko sve ima lokalni administrator pristup na endpoint uređajima i da li im to zaista treba
- Nikad ne usvajati pretpostavku da je Defender dovoljna zaštita — on je baseline endpoint odbrane koji treba da sarađuje sa drugim slojevima zaštite, čak i kad je budžet veoma ograničen.