마이크로소프트 디펜더 ‘RoguePlanet’ 제로데이, SYSTEM 권한 부여
보안 연구원이 “RoguePlanet”이라는 새로운 Microsoft Defender 제로데이 익스플로잇을 발표했습니다. 이는 Microsoft가 2026년 6월 패치 화요일에 이전에 공개된 두 취약점을 수정한 지 몇 시간 만에 나온 것입니다.
Nightmare Eclipse라는 별명으로 활동하는 연구자는 이번 취약점이 완전히 패치된 Windows 10 및 Windows 11 장치에도 영향을 미쳐, Microsoft Defender의 레이스 컨디션 취약점을 이용해 SYSTEM 권한을 가진 명령 프롬프트를 실행할 수 있다고 밝혔습니다.
연구자는 GitHub와 GitLab에 있던 익스플로잇 저장소가 Microsoft에 의해 삭제된 후, 자체 호스팅 Git 저장소에 화요일 오후에 PoC(Proof‑of‑Concept) 익스플로잇을 공개했습니다.
“이 익스플로잇은 레이스 컨디션이기 때문에 성공 여부가 가변적입니다. 일부 머신에서는 100 % 성공률을 기록했지만, 다른 머신에서는 작동하지 않았습니다.” — Nightmare Eclipse, 저장소 내
이 결함은 Windows 11 공식 및 Canary 빌드, 그리고 2026년 6월 보안 업데이트가 적용된 Windows 10 시스템을 대상으로 테스트되었습니다.
성공하면 SYSTEM 권한을 가진 Windows 명령 프롬프트가 실행됩니다.
사이버 보안 기업 ThreatLocker는 BleepingComputer에 이 결함을 재현했으며, KB5094126이 설치된 완전히 패치된 Windows 11 시스템에서도 익스플로잇이 동작함을 확인하고 시연 영상을 공유했습니다.
“초기 분석 결과 RoguePlanet 익스플로잇이 실제로 작동하며 설명된 대로 동작한다는 것을 확인했습니다. 애플리케이션 허용 목록을 사용하는 조직은 이 익스플로잇의 실행을 차단할 수 있어, 해당 공격에 대한 효과적인 방어층을 제공합니다.” — Danny Jenkins, ThreatLocker CEO
Nightmare Eclipse에 따르면 RoguePlanet은 원래 원격 코드 실행(RCE) 취약점으로 개발되었으며, Microsoft Defender가 원격 SMB 공유에 있는 파일을 처리하는 방식을 악용했습니다.
“초기 개발 단계에서 이 취약점이 원격 코드 실행임이 확인되었습니다.” — 연구자는 블로그 게시물에서 설명했습니다.
“공격자는 피해자를 설득해 원격 SMB 서버에 있는 .vhd(x) 파일을 열게 해야 했으며, 성공적으로 악용될 경우 Defender가 자체 파일을 덮어쓰게 되어 결국 RCE가 발생했습니다.”
연구자는 심볼릭 링크 평가 설정이 활성화된 경우, 피해자를 SMB 공유를 열도록 유도하는 것만으로도 원격 코드 실행이 가능하다고 주장했습니다.
하지만 연구자는 Microsoft가 5월 중순에 “mpengine!SysIO*” API를 패치해 정션 공격을 차단함으로써 Defender를 조용히 강화했다고 주장합니다.
“RoguePlanet을 다시 작동하도록 재작성하는 데 너무 많은 시간이 걸렸고, 다른 시나리오를 완성하지 못했습니다. 현재 이 익스플로잇이 로컬 권한 상승(LPE)에만 제한되는지, 아니면 RCE로 전환할 방법이 있는지는 불분명합니다.” — 연구자
이번 공개는 Nightmare Eclipse와 Microsoft 사이에 지속되고 있는 취약점 공개 및 버그 바운티 정책을 둘러싼 논쟁의 일환입니다.
지난 몇 달 동안 연구자는 여러 Windows 제로데이 취약점을 공개했으며, 여기에는 BlueHammer, RedSun, GreenPlasma, 그리고 YellowKey와 같은 결함이 포함됩니다. 일부 제로데이는 Microsoft Defender를, 다른 일부는 BitLocker 및 Windows 구성 요소를 목표로 했습니다.
Microsoft는 오늘 2026년 6월 패치 화요일 업데이트의 일환으로 GreenPlasma와 YellowKey 결함을 수정했습니다.
Microsoft는 이전에 공개된 취약점에 대해 “[공동 책임]을 강조하며, 악의적인 활동으로 고객에게 실질적인 피해를 주는 경우 법 집행 기관과 협력하겠다”고 경고했으며, 이는 사이버 보안 커뮤니티가 Microsoft가 연구자를 위협하고 있다고 오해하게 만들었습니다.
Nightmare Eclipse는 Microsoft가 GitHub와 GitLab에 있던 이전 저장소들을 반복적으로 차단·삭제했으며, 이에 따라 projectnightcrawler.dev라는 자체 호스팅 코드 플랫폼을 만들었다고 주장합니다.
BleepingComputer은 Microsoft에 이번 제로데이에 대해 연락했으며, 성명서를 받는 대로 업데이트할 예정입니다.
보안 팀은 성공적인 공격의 54 %를 기록하지만, 알림은 14 %에 불과합니다. 나머지는 환경을 무시하고 이동합니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트해 위협이 탐지되지 않고 넘어가는 것을 방지하는지 보여줍니다.