Der Exploit ist lokal – der Angreifer muss bereits über normalen Benutzerzugriff auf den Rechner verfügen – erfordert aber darüber hinaus keine zusätzlichen Privilegien . Er funktioniert auch unabhängig davon, ob der Echtzeitschutz von Defender aktiviert oder deaktiviert ist
.
Microsoft weist einen CVSS-3.1-Basiswert von 7,8 (HOCH) zu, mit einer Angriffskomplexität von Niedrig (mit der Begründung, dass der Oplock das Rennen zuverlässig macht). Die NVD listet einen Basiswert von 7,0 (HOCH) mit einer Angriffskomplexität von Hoch auf (was die Schwierigkeit des Rennens anerkennt). Der temporale Vektor (E:F/RL:U/RC:C) ergibt unter Microsofts Bewertung einen temporalen Score von 7,6 .
Die Schwachstelle wird auf Microsofts Exploitability Index als "Exploitation More Likely" eingestuft .
Die Lücke zwischen der Veröffentlichung des öffentlichen Exploits und der Bestätigung durch Microsoft war kritisch:
Die Lücke zwischen der Veröffentlichung des öffentlichen Exploits (10. Juni) und der Bestätigung durch Microsoft (16. Juni) betrug ca. 6 Tage. Anfang Juli 2026 ist der Exploit seit etwa einem Monat öffentlich, ohne dass ein Fix verfügbar ist .
Die Schwachstelle wurde von einem Sicherheitsforscher entdeckt und öffentlich veröffentlicht, der unter den Pseudonymen Nightmare Eclipse (auch bekannt als Chaotic Eclipse) arbeitet .
Es handelt sich um den siebten Exploit in der anhaltenden Kampagne des Forschers gegen Microsoft Defender. Frühere offengelegte Defender-Schwachstellen umfassten frühere Privilegienausweitungs- und Umgehungs-Schwachstellen wie BlueHammer, RedSun, UnDefend, YellowKey und GreenPlasma . TechRadar charakterisiert RoguePlanet als Teil einer "anhaltenden Forschungskampagne gegen die Defender-Angriffsfläche"
. Validierte PoC-Nachbildungen durch Drittgruppen wie ThreatLocker bestätigen die Zuverlässigkeit der Exploit-Kette
.
Die verlängerte Patch-Lücke zog scharfe Kritik aus der Sicherheitsgemeinschaft auf sich:
Der Kern der Frustration: Da Defender auf allen Windows-Installationen standardmäßig aktiviert ist, hat die Schwachstelle eine enorme Angriffsfläche, aber es wurde kein zwischenzeitlicher Patch (außerplanmäßig) herausgegeben, obwohl funktionierender Exploit-Code öffentlich verfügbar ist .
Die Quellen empfehlen durchgängig die folgenden Schritte, bis Microsoft einen dauerhaften Fix bereitstellt:
Wenden Sie den Fix an, sobald verfügbar
Vorläufige Abhilfemaßnahmen (kein Patch verfügbar)