Ihr Windows ist vollständig gepatcht. Und es gibt einen öffentlichen Exploit auf GitHub, der Angreifern gerade SYSTEM-Rechte gibt.

Ihr Windows ist vollständig gepatcht. Und es gibt einen öffentlichen Exploit auf GitHub, der Angreifern gerade SYSTEM-Rechte gibt.

Am 10. Juni – Stunden nach Microsofts Juni-Patch-Tuesday-Update – veröffentlichte Forscher Nightmare Eclipse einen funktionierenden Exploit namens RoguePlanet. Er zielt auf eine Race-Condition in der Quarantänepipeline von Microsoft Defender. Defender läuft als SYSTEM. Der Exploit gewinnt einen Timing-Wettlauf während der Dateiverarbeitung und leitet eine Defender-Operation um, um angreiferkontrollierten Code auf höchster Berechtigungsstufe auszuführen.

Kein Social Engineering. Kein anfälliger Browser. Jeder Brückenkopf – ein Phishing-Anhang, ein unseriöses Skript, ein Insider – plus ein GitHub-Download reicht aus.

Was diesen Fall von einem typischen Post-Patch-Tuesday-Bug unterscheidet: Es gibt keinen Patch. Nicht „Patch ist verzögert.“ Nicht „Patch ist in der Testphase.“ Kein Patch. Microsoft hat den Exploit gesehen, bestätigt, dass er echte Systeme betrifft, und hat noch keine Lösung.

Überwachen Sie EDR-Alerts auf Defender-Prozessanomalien. Beschränken Sie, wer ausführbare Dateien von externen Quellen herunterladen kann. Aktivieren Sie Attack Surface Reduction Rules, falls noch nicht geschehen. Verfolgen Sie Microsofts Sicherheitsbulletins für einen außerplanmäßigen Patch.