Cloud Filterドライバーの特権昇格の脆弱性が再度出現、Windowsの回帰脆弱性への懸念が高まる
Windowsの「cldflt.sys」というCloud Filterドライバーに影響する古い特権昇格(EoP)脆弱性がMicrosoftに再び悪影響を与えており、パッチが適用されたはずの6年後にも依然として悪用可能であると研究者たちは主張しています。
この脆弱性は、もともと2020年9月にGoogleのProject Zeroの研究者James Forshawから報告されていましたが、最近Windowsバグの発見を続ける研究者Nightmare Eclipseによって拾い上げられ、SYSTEM特権を獲得するために作り直されました。
「Microsoftがこの問題をパッチしたのか、それともパッチが不明な理由で何らかの時点で静かにロールバックされたのか確認できません」とEclipseはPoCライトアップで述べ、この再発見を「MiniPlasma」と呼びました。「Googleによる元のPoC変更されることなく機能していました。」
EclipseのPoC研究者のマシンで実行中の全WindowsバージョンでSYSTEM特権をトリガーしましたが、「成功率は競合状態であるため異なるかもしれない」と述べました。
「このエクスプロイトは信頼性が高く、完全にパッチされたシステムで機能し、レガシー回帰フローがどのように管理されているかについて大規模なギャップを示しています」とColorTokensのチーフエバンジェリストAgniidipta Sarkarは述べました。「簡単な検索により、この脆弱性はcldflt.sys(Windows Cloud Files Mini Filter Driver)、特にOneDriveプレースホルダーファイルなどのCloud Sync機能を処理するHsmOsBlockPlaceholderAccessルーチン内に存在することが分かります。」
Microsoftはすぐにはコメントのリクエストに対応しませんでした。
修正されたがまだ機能するバグ
MiniPlasmaはCVE-2020-17103として追跡された古い問題を再現しました。Cloud Filterドライバーに関連する文書化されていないAPIを通じてWindowsがキーを作成する方法についてです。
Forshawの元のProject Zeroレポートは、「.DEFAULT」ユーザーハイブ内で任意のレジストリキーが適切なアクセスチェックなしに作成される可能性があり、ローカル特権昇格を可能にする可能性があるシナリオについて説明していました。この脆弱性はNISTによって7.8の「高深刻度」CVSS評価を割り当てられていますが、MicrosoftはそれをCVSS 10中7.0という評価で異議を唱えていました。
「これはローカル特権昇格(LPE)フローであるため、システムへの初期のリモートエントリには使用できません」とSarkarは述べました。「そして、これはラテラルムーブメント可能であることが望ましいです。CrowdStrike/Defender/SentinelOneなどのEDRと統合するエージェントレスモデルでの最新のマイクロセグメンテーションにより、Microsoft パッチが適用されるまでの脆弱なシステムを隔離された状態に保つために1日以内に導入できます。」
Microsoftは2020年12月にこの問題にパッチを当てました。攻撃の複雑さを「高い」と評価し、この脆弱性の悪用は「ありそうにない」と述べていました。
しかし、Eclipseはこの欠陥のある動作は決して真に消えていないと主張しています。2020年の元のエクスプロイトチェーンは引き続き現代のWindowsビルドで成功し、標準ユーザーアカウントがSYSTEM特権に直接昇格できるようにします。彼らはライトアップで述べました。
「Microsoftがこれを見落とした理由がわかりません。しかし、彼らがルーチン全体ではなく特定のサイドチャネルのみをブロックしたか、これが偶発的な見落としだったかということです」とSarkarは追加しました。「どちらの場合でも、Mythosの時代には、これは確実に大きな問題です。」
セキュリティ研究者Will Dormannは最新の5月アップデートまで欠陥のある動作が続いていることを確認しました。ただし、最新のWindows 11 Canary Insiderビルドでエクスプロイトが失敗したことに気づき、Microsoftはすでに静かに軽減策をテストしている可能性があることを示唆しています。
公開されている複数のPOC以外に、これらの年で脆弱性が武器化されたかどうかは不明です。
Nightmare-Eclipseのセキュリティ脅威開示ラッシュは増え続けている
MiniPlasmaは2026年で最もカオスなWindows開示実行の1つになった最新のエントリーに過ぎません。
このラッシュはBlueHammerで始まりました。Windowsディフェンダーの特権昇格脆弱性で、後にCVE-2026-33825が割り当てられました。その後にRedSunとUnDefendが続きました。これは2つの追加的なWindowsの特権昇格とサービス拒否の開示です。Huntressは後に、不審なVPN活動と手動のキーボード攻撃者の動作に関連する実世界の侵入調査中にBlueHammer、RedSun、およびUnDefendツーリングを観察したことを報告しました。
今月初め、EclipseはYellowKeyとGreenPlasmaもリリースしました。YellowKeyはWindows回復環境の動作を悪用してTPMのみのBitLoック保護をバイパスし、暗号化されたドライブへのシェルアクセスを取得するとされています。一方、GreenPlasmaはSTEMアクセスを達成することを目指したもう1つのローカル特権昇格技術です。
GreenPlasma技術の後続調査中に、EclipseはMiniPlasmaに遭遇しました。「GreenPlasmaで使用された技術(特にSetPolicyVal)を再調査した結果、「cldflt!HsmOsBlockPlaceholderAccess」は6年前にMicrosoftに報告された完全に同じ問題に対して脆弱なままであることが判明しました」とEclipseは述べました。
研究者はBlueHammer開示のMicrosoftの処理方法に同意しないと報告されました。その後のWindows脆弱性PoC文字列は特に興味深いものになります。
「過去数週間にわたって、Nightmare-Eclipseはゼロデイ/回帰開示の絶え間ない一連のリリースをしてきました」とSarkarは指摘しました。「タイミングはギブアウェイです。MiniPlasmaは2026年5月13日(Microsoftの5月Patch Tuesdayサイクルの正確に1日後)にリリースされました。これにより、ディフェンダーは数週間公式ベンダーパッチを持たないようになります。しかし、はい、既存のEDRプラットフォームと統合されたマイクロセグメンテーションが正確に役に立つ場所です。」
