Конфликт между Microsoft и исследователем, известным как Nightmare Eclipse или Chaotic Eclipse, получил новое продолжение. Автор опубликовал два новых proof-of-concept эксплойта для Windows под названиями RoguePlanet и GreatXML, снова указав на проблемы в компонентах безопасности операционной системы.
Наиболее опасным выглядит RoguePlanet. По данным автора, эксплойт использует уязвимость в Windows Defender и позволяет получить привилегии SYSTEM — уровень доступа выше обычного администратора. Это потенциально открывает путь к выполнению команд с максимальными правами, краже данных, закреплению вредоносного ПО в системе и другим действиям, если злоумышленнику удастся заставить пользователя запустить подготовленный скрипт.
При этом сам исследователь признаёт, что RoguePlanet не срабатывает одинаково стабильно на всех установках Windows. Эксплойт зависит от race condition, связанного с монтированием ISO-образа и Volume Shadow Copy, поэтому его успех зависит от точного совпадения условий. По словам Eclipse, на одних системах срабатывание было стопроцентным, а на других эксплойт работал заметно хуже. Автор утверждает, что проблема сохраняется даже на полностью обновлённой Windows с июньскими патчами 2026 года.
Второй эксплойт, GreatXML, связан с обходом BitLocker через среду восстановления Windows. Он выглядит менее опасным из-за более жёстких условий эксплуатации, но всё равно неприятен для Microsoft: сама возможность такого сценария снова поднимает вопросы к тому, как BitLocker и WinRE обрабатывают служебные конфигурации и автономные проверки Defender.
История осложняется тем, что отношения между Microsoft и Nightmare Eclipse давно вышли за рамки обычного диалога между исследователем и вендором. Microsoft ранее заблокировала аккаунт автора на GitHub, после чего proof-of-concept-код был перенесён в менее ограниченное сообщество Church of Malware. Компания также угрожала юридическими мерами, но затем, по данным источника, отступила.
Ранее Eclipse обещал массово раскрыть zero-day уязвимости Windows 14 июля, называя эту дату почти «Windowspocalypse Day». Теперь автор, похоже, смягчил позицию: работа над RoguePlanet заняла больше времени, чем ожидалось, и исследователь допустил паузу вместо немедленной публикации большого набора новых уязвимостей.
Для Microsoft эта история остаётся репутационно болезненной. Даже если новые эксплойты требуют сложных условий и не всегда работают стабильно, сам факт их публикации показывает, что спорные участки в Defender, BitLocker и среде восстановления Windows продолжают находить. Пользователям же остаётся следить за обновлениями безопасности и относиться особенно осторожно к любым скриптам и командам, которые предлагают запускать вручную.