Встроенный в Windows антивирус Defender неожиданно стал оружием в руках злоумышленников. С его помощью можно всего за несколько секунд получить привилегии администратора со всеми вытекающими отсюда последствиями. Готовый эксплойт уже доступен на GitHub — платформе, которая, как и Windows, принадлежит Microsoft. На данный момент решения проблемы не существует: даже самые свежие обновления Windows не устраняют эту уязвимость.
Хакеры обзавелись новым инструментом под названием RoguePlanet, предназначенным для взлома ПК на Windows, сообщает специализированный портал Bleeping Computer. Речь идет об эксплойте, который использует серьезную прореху в антивирусе Defender, созданном Microsoft и встроенном в операционную систему.
Уязвимость была обнаружена экспертом по кибербезопасности, известным под псевдонимом Nightmare Eclipse, еще в мае 2026 года. Она позволяет задействовать Defender для получения прав администратора, причем самого высокого уровня — System, после чего злоумышленник получает полный контроль над компьютером.
Эта брешь присутствует как минимум в двух операционных системах от Microsoft — Windows 10 и Windows 11, и софтверный гигант пока не успел ее закрыть. Иными словами, даже установка последних обновлений для обеих систем (причем для Windows 10 такие апдейты станут платными) не устранит уязвимость.
В мае 2026 года между Microsoft и Nightmare Eclipse возник серьезный конфликт. Исследователь в области безопасности опубликовал в интернете информацию сразу о нескольких важных уязвимостях в Windows, после чего корпорация заявила, что подобных «публикаторов» следует преследовать, что вызвало широкий общественный резонанс. На момент публикации материала никаких санкций с ее стороны еще не последовало, однако Nightmare Eclipse, судя по всему, решил немного позабавиться над ней.
Именно он стоит за эксплойтом RoguePlanet, и в начале июня 2026 года он разместил его исходный код прямо на GitHub — репозитории, который с 2018 года принадлежит Microsoft. Там же находится скомпилированный исполняемый файл — приложение .exe, полностью готовое к использованию.
Не доверяя Microsoft и ожидая, что хранилище на GitHub будет удалено, специалист по кибербезопасности разместил исходники RoguePlanet на другом аналогичном сервисе — GitLab, который юридически не связан с Microsoft. А для дополнительной надежности отдельную копию он выложил в своем личном облаке.
Об уязвимости в Defender Nightmare Eclipse сообщил в мае 2026 года, после чего Microsoft попыталась ее закрыть, по крайней мере, в Windows 11. Однако эта попытка не увенчалась успехом, поскольку появившийся в июне 2026 года эксплойт RoguePlanet демонстрирует очень высокую степень работоспособности.
Это подтвердила компания ThreatLocker, специализирующаяся на кибербезопасности. Как сообщает Bleeping Computer, специалисты протестировали RoguePlanet на нескольких устройствах под управлением Windows 11 с установленными на тот момент всеми актуальными обновлениями. На практике выяснилось, что в ряде случаев вероятность успешного применения эксплойта достигала 100%.
Проще говоря, практически каждый запуск исполняемого файла RoguePlanet предоставляет пользователю максимальные привилегии в системе. Однако такая ситуация наблюдается не на всех компьютерах: согласно статистике ThreatLocker, на некоторых устройствах вероятность успешного срабатывания эксплойта ниже, но она всё равно остается крайне высокой.
На момент публикации материала способов защиты от RoguePlanet было немного. Microsoft пока не выпустила патч, который окончательно устранил бы уязвимость, и не у всех пользователей будет возможность его установить.
Некоторые владельцы ПК на Windows намеренно отключают автоматическое обновление системы, чтобы не получать некорректные апдейты, выпуск которых Microsoft, судя по всему, поставила на поток. Те же, кто не пошёл на этот шаг, в мае 2016 года столкнулись с тем, что очередное обновление нарушило работу системы обновлений Windows, после чего новые патчи перестали поступать и устанавливаться.
По данным ThreatLocker, сейчас существует лишь один способ защиты от RoguePlanet, но он больше подходит для корпоративных клиентов, а не для обычных пользователей. Речь идёт о политике разрешённых приложений, при которой используется «белый список» программ, разрешённых к запуску на компьютерах.
