L'exploitation est locale — l'attaquant doit déjà avoir un accès utilisateur standard à la machine — mais ne nécessite aucun privilège supplémentaire . Elle fonctionne également que la protection en temps réel de Defender soit activée ou non
.
Microsoft attribue un score de base CVSS 3.1 de 7,8 (ÉLEVÉ), avec une complexité d'attaque faible (estimant que l'oplock rend la course fiable). Le NVD liste un score de base de 7,0 (ÉLEVÉ) avec une complexité d'attaque élevée (reconnaissant la difficulté de la course). Le vecteur temporel (E:F/RL:U/RC:C) donne un score temporel de 7,6 selon l'évaluation de Microsoft .
L'écart entre la sortie de l'exploit public et la reconnaissance par Microsoft a été crucial :
L'intervalle entre la publication de l'exploit (10 juin) et la reconnaissance de Microsoft (16 juin) était d'environ 6 jours. Début juillet 2026, l'exploit était public depuis environ un mois sans correctif .
La vulnérabilité a été découverte et rendue publique par un chercheur en sécurité opérant sous les alias Nightmare Eclipse (également connu sous le nom de Chaotic Eclipse) .
Il s'agit du septième exploit de la campagne continue du chercheur ciblant Microsoft Defender. Les failles précédentes divulguées dans Defender comprenaient des vulnérabilités d'élévation de privilèges et de contournement telles que BlueHammer, RedSun, UnDefend, YellowKey et GreenPlasma . TechRadar qualifie RoguePlanet de faisant partie "d'une campagne de recherche soutenue contre la surface d'attaque de Defender"
. Des reproductions validées par des groupes tiers comme ThreatLocker confirment la fiabilité de la chaîne d'exploitation
.
Le retard prolongé du correctif a suscité de vives critiques de la part de la communauté de la sécurité :
La frustration principale : parce que Defender est activé par défaut sur toutes les installations Windows, la vulnérabilité a une surface d'attaque énorme, et pourtant aucun correctif provisoire (exceptionnel) n'a été émis malgré la disponibilité publique d'un code d'exploitation fonctionnel .
Les sources recommandent systématiquement les mesures suivantes jusqu'à ce que Microsoft publie un correctif permanent :
Appliquer le correctif dès sa disponibilité
Mesures d'atténuation provisoires (aucun correctif disponible)