SOC Prime Bias: Kritisch

12 Jun 2026 06:21 UTC

RoguePlanet nutzt eine Windows Zero-Day-Lücke über die Defender-Quarantäne-Pipeline

Author Photo
SOC Prime Team linkedin icon Folgen
RoguePlanet nutzt eine Windows Zero-Day-Lücke über die Defender-Quarantäne-Pipeline
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

RoguePlanet ist eine Local-Privilege-Escalation-Zero-Day-Schwachstelle, die den Microsoft Defender Quarantäne- und Wiederherstellungsworkflow unter Windows ausnutzt. Durch die Kombination von NTFS-Verzeichnisverknüpfungen, opportunistischen Sperren und dem Volumenschattenkopie-Dienst kann ein Benutzer mit niedrigen Rechten in den Verarbeitungsprozess des Defenders eingreifen und beliebigen Code als NT-AUTORITÄTSYSTEMausführen. Der Exploit verlässt sich auf eine deterministische Methode zur I/O-Sättigung, um Timing-Rennen während der Dateiquarantäne-Operationen konsistent zu gewinnen.

Untersuchung

Das Howler Cell Threat Research Team reproduzierte den Exploit auf einem vollständig gepatchten Windows 11 Pro System und bestätigte, dass er SYSTEM-Level Code-Ausführung ohne Speicherbeschädigung oder Administratorzugang erreicht. Ihre Analyse identifizierte eine siebenstufige Angriffskette, die ein eingebettetes ISO-Image, NTFS-Reparaturpunkte und die Ausnutzung der WER QueueReporting Geplanten Aufgabe umfasst. Die Forscher stellten auch fest, dass kleine Quellcode-Änderungen es dem Exploit ermöglichen, die statische Erkennung relativ leicht zu umgehen.

Minderung

Derzeit gibt es keinen offiziellen Patch, der die Grundursache von RoguePlanet adressiert. Verteidiger sollten die Erstellung der spezifischen benannten Pipes im Zusammenhang mit dem Exploit überwachen und ungewöhnliche Dateisystemaktivitäten mit UUID-ähnlichen Verzeichnisnamen unter %TEMP%überwachen. Zusätzliche Härtung sollte sich darauf konzentrieren, den Missbrauch von NTFS-Verknüpfungen zu begrenzen und Nicht-System-Prozesse zu erkennen, die Volumenschattenkopien auflisten.

Reaktion

Falls Aktivitäten im Zusammenhang mit RoguePlanet erkannt werden, sollten Sicherheitsteams den betroffenen Host isolieren und alle Prozesse untersuchen, die conhost.exe von SYSTEM-Integritäts-Elternprozessen in Benutzersitzungen starten. Analysten sollten auch nach wermgr.exe suchen, das aus unerwarteten Pfaden läuft, und nach %TEMP% der RP_ Verzeichnisstruktur ansehen. Auch die Überprüfung von Aufgabenplanungsprotokollen auf verdächtige Ausführungen der QueueReporting Aufgabe ist ebenfalls erforderlich.

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinientest muss bestanden werden.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Adversary-Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffsnarrativ & Befehle: Der Angreifer nutzt eine Schwachstelle in einem laufenden Windows-Dienst aus, um SYSTEM-Level Code-Ausführung zu erreichen. Um die Kommunikation zwischen dem auszunutzenden Dienst und dem neu injizierten Thread zu erleichtern, erstellt der Angreifer eine benannte Pipe namens .pipeRoguePlanet. Nach der erfolgreichen Erhöhung erzwingt die Nutzlast des Angreifers, dass services.exe zu erzeugen conhost.exe um eine interaktive Umgebung für die weitere Befehlsausführung bereitzustellen. Diese Sequenz ist darauf ausgelegt, das Verhalten der RoguePlanet-Exploit-Kette nachzuahmen.

  • Regression-Test-Skript:

    # Simulation of RoguePlanet Named Pipe and Process Anomaly
    # HINWEIS: Dieses Skript erfordert Administratorrechte, um service-ähnliches Verhalten zu simulieren
    
    Write-Host "[+] Starte RoguePlanet-Simulation..." -ForegroundColor Cyan
    
    # 1. Simulieren der Named Pipe-Erstellung (entspricht selection_pipe)
    # Wir verwenden PowerShell, um eine benannte Pipe zu erstellen, die den Zielindikator nachahmt
    $pipeName = "RoguePlanet"
    $pipe = New-Object System.IO.Pipes.NamedPipeServerStream($pipeName, [System.IO.Pipes.PipeDirection]::InOut)
    Write-Host "[+] Named Pipe \.pipe$pipeName erstellt." -ForegroundColor Green
    
    # 2. Simulation von anomaler Prozess-Erzeugung (entspricht selection_conhost und selection_parent)
    # In einem echten Exploit würde services.exe der Elternprozess sein. 
    # Da wir nicht einfach 'zu services.exe werden' können, ohne einen Kernel-Exploit,
    # simulieren wir die Telemetrie, indem wir ein Prozess-Erstellungsereignis auslösen,
    # das die spezifische Eltern-Kind-Beziehung nachahmt, die von der Regel-Logik erwartet wird.
    
    Write-Host "[+] Simuliere conhost.exe, das von services.exe erzeugt wird..." -ForegroundColor Cyan
    
    # Wir verwenden einen Trick, um die Telemetrie zu imitieren: Ein Prozess zu erstellen, den das SIEM/Sysmon 
    # mit dem Ziel-Elternprozess aufzeichnet, wenn wir uns in einem kontrollierten Lab-Umfeld befinden.
    # Für diesen Erkennungstest werden wir einen Befehl ausführen, der auf die spezifischen Bild/Elternbild-Kriterien abzielt.
    
    # Hinweis: In einer realen Validierung würde der Forscher ein Tool wie 
    # 'ProcMon' oder einen benutzerdefinierten Treiber verwenden, um die Parent Process ID (PPID) 
    # von services.exe zu fälschen, um sicherzustellen, dass die Regel genau auslöst.
    
    Start-Process "conhost.exe" -ArgumentList "/c echo Simulation Complete" -WindowStyle Hidden
    
    Write-Host "[+] Simulationsbefehle gesendet. Überprüfe SIEM auf Warnungen." -ForegroundColor Yellow
    
    # Halt der Pipe kurzzeitig, um sicherzustellen, dass die Telemetrie erfasst wird
    Start-Sleep -Seconds 5
    $pipe.Dispose()
  • Aufräumbefehle:

    # Cleanup: Schließen aller verbleibenden Pipes und Beenden aller simulierten Prozesse
    Get-Process conhost | Stop-Process -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Aufräumvorgang abgeschlossen." -ForegroundColor Green