Você atualizou o Windows nesta semana e achou que estava protegido? Pense de novo. O pesquisador Nightmare Eclipse (também conhecido como Chaotic Eclipse) divulgou um exploit batizado de RoguePlanet que ignora totalmente os patches liberados no Patch Tuesday de junho de 2026. Mesmo em PCs com Windows 10 ou 11 completamente atualizados, a falha permite que um invasor assuma o controle total do sistema via Microsoft Defender — e sem precisar de permissões de administrador.
O que é o RoguePlanet e por que você deve se preocupar
O RoguePlanet é um zero-day — ou seja, uma vulnerabilidade ainda sem correção oficial — que explora uma race condition dentro do Microsoft Defender. Na prática, dois processos tentam acessar o mesmo recurso simultaneamente; o atacante aproveita essa “corrida” para redirecionar um arquivo que já foi analisado pelo antivírus para outro destino, abrindo um prompt com privilégios de SYSTEM, o nível mais alto do Windows.
Para quem joga, edita vídeo ou trabalha com dados sensíveis, esse tipo de falha é um prato cheio para malware que rouba credenciais de serviços online, carteiras de jogos e até chaves de criptografia armazenadas no TPM 2.0 de placas-mãe atuais.
Como o ataque acontece na prática
O pesquisador publicou a prova de conceito (PoC) no GitHub, confirmada por analistas independentes. Basta que o invasor tenha acesso local — por exemplo, uma conta de convidado ou a execução de um arquivo pendrive — para, em segundos, ganhar poderes de administrador. Nas versões anteriores, o RoguePlanet ainda possibilitava execução remota de código (RCE) ao manipular arquivos .vhd ou .vhdx via SMB, mas a Microsoft fechou parcialmente essa porta em maio. Mesmo assim, o autor do exploit já sinalizou que pode reativar o vetor remoto em futuras versões.
Quais sistemas estão em risco?
• Windows 10 22H2 com patch de 11 de junho de 2026.
• Windows 11 24H1 (Moment 6) igualmente atualizado.
• Versões Server ainda não foram testadas, mas o pesquisador acredita que o código-base compartilhado também seja vulnerável.
Curiosamente, antivírus de terceiros — como Bitdefender, Kaspersky ou ESET — não são afetados porque não usam o motor de inspeção do Defender. Essa pode ser uma alternativa temporária enquanto a Microsoft prepara um out-of-band patch.
Impacto para quem monta PCs e faz upgrades
1. Firmware TPM não resolve tudo: mesmo placas-mãe Z890 ou X770 compatíveis com Secure Boot continuam expostas, pois a escalada de privilégios acontece depois que o Windows sobe.
2. Armazenamento criptografado: usuários de SSDs NVMe PCIe 5.0 que dependem do BitLocker não estão imunes; a versão original do RoguePlanet conseguia burlar a criptografia ao gravar direto no driver NTFS.sys.
3. Overclockers e streamers: softwares de monitoramento que rodam em modo serviço (MSI Afterburner, HWiNFO, etc.) podem ser alterados maliciosamente, resultando em travamentos, perdas de performance ou até danos físicos se perfis de tensão forem modificados.
O que fazer agora? Dicas rápidas de mitigação
• Monitorar processos: habilite o Modo Audit do Windows Defender ou use ferramentas como Process Explorer para flagrar criações suspeitas de cmd.exe executadas como SYSTEM.
• Reduza contas locais: mantenha senhas fortes e evite usuários convidados — quanto menos acesso, menos superfície para a LPE.
• Considere um antivírus alternativo: soluções pagas oferecem drivers próprios e podem bloquear o exploit antes que ele rode.
• Fique de olho em micro-updates: nos últimos zero-days, a Microsoft liberou correções emergenciais em até 72 h. Ative atualizações automáticas e reinicie o PC assim que surgir um novo patch.
Imagem: Internet
Contexto: um Patch Tuesday histórico
O pacote de 11 de junho de 2026 foi um dos maiores da década: 206 vulnerabilidades corrigidas, sendo 39 críticas e três com pontuação CVSS 9,8/10. Entre elas, o YellowKey e o GreenPlasma, também assinados por Nightmare Eclipse. A sequência de falhas tem sido atribuída ao uso intensivo de IA para caça de bugs, tanto por pesquisadores independentes quanto por grupos criminosos.
Por que isso interessa ao entusiasta de hardware?
Com a chegada de placas-mãe PCIe 5.0, memórias DDR6 e GPUs que exigem atualizações de firmware frequentes, cada reinicialização conta. Um exploit de local privilege escalation capaz de interferir no processo de flash de BIOS ou firmware da GPU pode transformar um simples update em paperweight caro. Ou seja: segurança de software agora impacta diretamente a longevidade do seu hardware.
Próximos passos da Microsoft
Até o fechamento deste artigo, a empresa não havia reconhecido oficialmente o RoguePlanet no portal de segurança. Históricamente, vulnerabilidades que afetam o Defender recebem correção via atualização de inteligência de segurança (Security Intelligence Update), dispensando o reinício do sistema. Se você quiser ser o primeiro a receber o patch, vale ativar o Windows Insider Release Preview.
No meio-tempo, atenção redobrada: se o seu PC é a sua estação de trabalho, console de jogos ou ferramenta de criação de conteúdo, mantenha backup em SSD externo, autenticação de dois fatores e monitore qualquer comportamento fora do normal. O RoguePlanet ainda é “apenas” uma LPE — mas pode evoluir para ataques remotos a qualquer momento.
Com informações de TecMundo
