El investigador de seguridad anónimo llamado Chaotic Eclipse (también conocido como Nightmare-Eclipse) ha liberado un exploit de prueba de concepto (PoC) para otro día cero de Microsoft Defender llamado Planeta Pícaro.

«El exploit es una condición de carrera, por lo que es un éxito o un fracaso», el investigador, que publicó el exploit en una nueva cuenta de GitHub, «MSNightmare». dicho. «He logrado obtener una tasa de éxito del 100 % en algunas máquinas, mientras que en otras tenía dificultades para funcionar».

Si el exploit tiene éxito, el resultado es un shell con privilegios a nivel de SISTEMA, que otorga al atacante la capacidad de ejecutar código arbitrario o realizar acciones no autorizadas.

El investigador dijo que el exploit se probó en máquinas con Windows 11 y 10 con las actualizaciones del martes de parches de junio de 2026 instaladas, lo que significa que el exploit funciona en las versiones actualizadas del sistema operativo de escritorio.

Dicho esto, el exploit no funciona en instancias de Windows Server en su forma actual ya que «los usuarios estándar no pueden montar una imagen ISO». Chaotic Eclipse enfatizó que las instalaciones de Windows Server también son vulnerables a la falla y que es necesario rediseñar el exploit para que funcione.

«Hacer que este PoC funcionara realmente me agotó el alma, degradó gravemente mi salud física y mental, pero a finales de mayo [sic]se desarrolló una PoC completa», dijo el investigador.

«Los esfuerzos de Microsoft para proteger a Defender de los ataques de redirección de rutas son inútiles. También tengo un lote de vulnerabilidades de corrupción de memoria en Defender y sin mencionar el otro lote de vulnerabilidades que tengo en varios otros componentes».

El investigador de seguridad Will Dormann, en una publicación. compartido en Mastodon, dijo «según se informa, no es 100% confiable, pero funcionó en el primer intento».

RoguePlanet es el último de una serie de fallas descubiertas por Chaotic Eclipse en los últimos meses.

Estas revelaciones no coordinadas son parte de lo que se considera un esfuerzo de represalia luego de una supuesta falla en la comunicación entre el investigador, que no se ha identificado públicamente, y Microsoft.

En publicaciones firmadas criptográficamente en su página de Blogger, Chaotic Eclipse expresó su insatisfacción con la forma en que Microsoft manejó el proceso de divulgación y criticó a la compañía por revocar el acceso a su cuenta del Centro de respuesta de seguridad de Microsoft (MSRC), donde los investigadores pueden informar vulnerabilidades. El investigador también ha acusado a Redmond de humillarlos, desestimar sus informes, no compensarlos por las vulnerabilidades identificadas y difamarlos.

A finales del mes pasado, Microsoft condenó las revelaciones públicas de vulnerabilidades, afirmando que «nunca son justificables» y ponen a los clientes en «riesgos innecesarios». Vale la pena señalar que las tres vulnerabilidades de Defender mencionadas anteriormente han sido explotadas en estado salvaje.

La disputa pública también resultó en la eliminación de sus cuentas de GitHub y GitLab. «Microsoft está intentando hacer un mal uso de su propiedad de GitHub para proteger sólo sus propios productos, y hacer un mal uso de sus amplios vínculos con las autoridades al calificar la publicación de información sobre vulnerabilidades en sus propios productos como comportamiento criminal», dijo el investigador de seguridad Kevin Beaumont. dicho.

«Para ser claros sobre nuestro enfoque en asuntos legales, no tenemos intención de emprender acciones contra personas que realicen o publiquen sus investigaciones de seguridad», Microsoft dicho en una publicación X. «Cuando un individuo infringe la ley y participa en actividades maliciosas que causan un daño real a nuestros clientes, trabajaremos con las autoridades según corresponda».

«Estamos comprometidos a abordar cada interacción con transparencia, comunicación clara y profesionalismo. Seguimos creyendo firmemente en la divulgación coordinada de vulnerabilidades como base para proteger a los clientes y mejorar nuestros productos».

Los investigadores de ciberseguridad han detectado media docena de vulnerabilidades en protobuf.js, una implementación de JavaScript y TypeScript de Protocol Buffers (Protobuf), que, si se explota con éxito, podría provocar ataques de ejecución remota de código (RCE) y de denegación de servicio (DoS).

«En los entornos afectados, un único esquema de protobuf malicioso, un descriptor o una carga útil diseñada podría ser suficiente para provocar fallos, corrupción del tiempo de ejecución o incluso la ejecución de código», afirma Assaf Morag, investigador de seguridad de Cyera. dicho. Las vulnerabilidades han sido nombradas en código. Proto6.

Protobuf es un mecanismo gratuito, de código abierto e independiente del idioma para serializar datos estructurados. Originalmente fue desarrollado y utilizado internamente por Google antes de estar disponible públicamente en 2008.

Las vulnerabilidades identificadas afectan a las aplicaciones Node.js que utilizan protobuf.js, bibliotecas cliente de Google Cloud y marcos de mensajería como Baileysy canales de CI/CD. Según Cyera, cualquier servicio Node.js que deserialice datos de Protobuf o genere código a partir de esquemas con protobuf.js probablemente también se vea afectado.

A continuación se incluye una breve descripción de cada uno de los defectos:

• CVE-2026-44289 (Puntuación CVSS: 7,5): DoS mediante recursividad ilimitada de protobuf
• CVE-2026-44290 (Puntuación CVSS: 7,5): DoS en todo el proceso al cargar esquemas con rutas de opciones inseguras
• CVE-2026-44291 (Puntuación CVSS: 8,1): dispositivo de generación de código después de la contaminación del prototipo
• CVE-2026-44292 (Puntuación CVSS: 5,3): Inyección de prototipos en constructores de mensajes generados
• CVE-2026-44294 (Puntuación CVSS: 5,3): DoS a partir de nombres de campos diseñados en el código generado
• CVE-2026-44295 (Puntuación CVSS: 8,7): inyección de código en la salida estática de pbjs a partir de nombres de esquemas elaborados

Cyera dijo que todas las vulnerabilidades se derivan del manejo de esquemas y metadatos por parte de la biblioteca como confiables de forma predeterminada. Esta supervisión de la validación podría influir en el comportamiento de la aplicación y conducir a la ejecución del código.

«Si bien la explotación de estas vulnerabilidades generalmente requiere condiciones específicas, esas condiciones son cada vez más comunes en los ecosistemas de datos e inteligencia artificial que intercambian rutinariamente datos, esquemas y archivos de configuración entre servicios, repositorios, plataformas en la nube e integraciones de terceros», señaló Morag.

En un posible escenario de ataque, un mal actor podría introducir un esquema protobuf malicioso para envenenar los flujos de trabajo de CI/CD, filtrando secretos de compilación en el proceso (CVE-2026-44295) o bloquear servicios Node.js como los bots de WhatsApp creados con Baileys, una biblioteca TypeScript de automatización de API web de WhatsApp, por medio de un mensaje especialmente diseñado (CVE-2026-44292).

El más grave de todos es CVE-2026-44291, que provoca la ejecución de código cuando una aplicación Node.js acepta entradas controladas por un atacante.

«Esta información llega a un prototipo de dispositivo contra la contaminación», afirma el investigador de seguridad Vladimir Tokarev. explicado. «Más tarde, el mismo proceso usa protobuf.js para codificar o decodificar un mensaje. Debido a que protobuf.js resuelve nombres de tipos a través de búsquedas de propiedades simples, un Object.prototype contaminado puede hacer que una cadena controlada por un atacante parezca una primitiva de protobuf válida».

«Protobuf.js luego inserta esa cadena en una función codificadora o decodificadora generada y la compila con Function(). El atacante obtiene una ejecución arbitraria de JavaScript dentro del proceso Node.js».

Las siguientes versiones de la herramienta son vulnerables:

• protobuf.js: versiones <= 7.5.5 y >= 8.0.0 <= 8.0.1
• protobufjs-cli: versiones <= 1.2.0 y >= 2.0.0 <= 2.0.1

Los parches para las fallas están disponibles en protobufjs 7.5.6 y 8.0.2, y protobufjs-cli 1.2.1 y 2.0.2. Se recomienda a los usuarios que apliquen las últimas correcciones para protegerse contra posibles amenazas.

«Debido a que protobuf.js se usa mucho dentro de bases de datos, almacenes de vectores, canales de inferencia, sistemas de orquestación, herramientas CI/CD y SDK en la nube, una explotación exitosa podría afectar las cargas de trabajo empresariales y de IA sensibles a escala», dijo Cyera.

«El software moderno trata cada vez más esquemas, metadatos y archivos de configuración como entradas confiables que impulsan la automatización, la orquestación y la generación de código. Cuando esas suposiciones de confianza se rompen, los datos pueden convertirse en comportamiento. Ese cambio crea nuevas superficies de ataque que los equipos de seguridad deben aprender a identificar y administrar».