RoguePlanet es el nombre del último exploit publicado por el investigador conocido como Nightmare‑Eclipse y diseñado para elevar privilegios en sistemas Windows mediante un fallo relacionado con Windows Defender.
La publicación llega junto a otra prueba llamada GreatXML, un método que apunta al entorno de recuperación de Windows y a BitLocker. Ambos muestran que la disputa entre el investigador y Microsoft sigue activa y genera preguntas sobre el alcance real de las defensas actuales.
Cómo funciona RoguePlanet y por qué preocupa
RoguePlanet permite ejecutar código con privilegios SYSTEM, un escalado por encima del administrador estándar que da control casi total sobre la máquina comprometida.
En la práctica, el exploit se aprovecha de un fallo en el tratamiento de ISOs y de una condición de carrera entre el montaje de una imagen ISO y Volume Shadow Copy. El mecanismo, según el autor, es relativamente simple: hay que convencer a la víctima para que ejecute un script malicioso que desencadene la secuencia de montaje y copie o active componentes manipulados.
Eso significa que un atacante que consiga que un usuario ejecute el script puede obtener acceso completo al equipo, con capacidad para extraer datos, instalar persistencia o mover lateralmente dentro de una red.
No es un exploit totalmente determinista: por su naturaleza depende del timing. Nightmare‑Eclipse reconoce que la prueba de concepto tuvo éxito al 100% en determinadas instalaciones, pero que en otros entornos falló o presentó inconsistencias. También afirman que RoguePlanet funciona sobre una instalación de Windows con el parche de junio y que es probable que Windows Server comparta la vulnerabilidad, aunque requiere adaptar el PoC porque en servidores el montaje de ISOs no está habilitado por defecto.
El contexto es relevante: elevar a SYSTEM es un nivel de privilegio que hace inútiles muchas restricciones locales, y si el exploit se combina con vectores de ingeniería social simples (abrir archivos, ejecutar scripts) el riesgo para equipos personales y estaciones de trabajo es tangible.
GreatXML: un bypass a BitLocker condicionado pero significativo
GreatXML no es tan fácil de explotar como RoguePlanet, pero sigue siendo preocupante porque demuestra un camino para abrir un volumen protegido por BitLocker desde el entorno de recuperación (WinRE).
Para que GreatXML funcione, un atacante debe escribir un archivo unattend.xml y un directorio “Recovery” en la partición de recuperación del sistema. Si previamente se ha ejecutado o está presente una exploración offline de Windows Defender, reiniciar al entorno de recuperación puede desbloquear la unidad BitLocker y permitir acceso al contenido cifrado.
Los requisitos colocan este bypass en una categoría de ataque con barreras: el atacante necesita acceso de escritura a la partición de recuperación y que se cumplan condiciones concretas en el sistema víctima. Aun así, la validez del enfoque plantea dudas sobre comportamientos que parecen puertas traseras en WinRE y en las interacciones con BitLocker.
Nightmare‑Eclipse sugiere que podría ser factible forzar una exploración Defender Offline sin iniciar sesión, aunque no lo confirma con certeza. Si se consiguiera automatizar ese paso, el vector sería mucho más peligroso.
Ambos exploits se han publicado fuera de los canales habituales: tras tensiones con Microsoft que incluyeron el bloqueo de una cuenta en GitHub, el investigador movió las pruebas a un repositorio más permisivo. Microsoft llegó a amenazar acciones legales, aunque según la información disponible no siguió adelante con medidas públicas adicionales.
El episodio vuelve a poner en evidencia que la divulgación de vulnerabilidades puede salirse de los marcos coordinados cuando las partes están enfrentadas, y que las pruebas públicas terminan en manos de administradores, atacantes y la comunidad de seguridad al mismo tiempo.
Para usuarios particulares, la recomendación inicial es obvia: no ejecutar scripts de origen desconocido y aplicar el principio de mínimos privilegios en las cuentas diarias. Para administradores y responsables de TI, conviene revisar políticas de montaje de imágenes, controles sobre la partición de recuperación y las configuraciones de BitLocker (por ejemplo, la combinación TPM+PIN donde sea viable).
No hay, por ahora, un parche oficial publicado públicamente que cierre RoguePlanet o GreatXML. Microsoft suele priorizar correcciones que afectan a elevación de privilegios locales y a la fiabilidad de BitLocker; habrá que seguir cualquier aviso de MSRC y aplicar actualizaciones en cuanto estén disponibles.
Lo que Microsoft no aclara todavía es cuándo actuará sobre estas pruebas de concepto y si optará por una corrección puntual o por cambios más amplios en el diseño de WinRE y las interacciones con Windows Defender.
Sea cual sea la evolución, la publicación de RoguePlanet y GreatXML es un recordatorio de que el software de seguridad no es infalible y de que los vectores menos evidentes —como el montaje de ISOs o la partición de recuperación— pueden convertirse en el talón de Aquiles de plataformas ampliamente desplegadas.
Habrá que ver si Microsoft publica un análisis técnico detallado o una mitigación recomendada. Mientras tanto, proteger accesos físicos y lógicos a las máquinas críticas, restringir operaciones que no son necesarias por defecto y mantener copias de seguridad fuera de línea sigue siendo la mejor defensa práctica.
