出典:JLStock via Shutterstock
マイクロソフトに対する明らかな恨みを持つセキュリティ研究者は、最近、さらに2つのWindowsゼロデイを公表し、マイクロソフトが2020年にパッチを当てたはずの3番目の脆弱性に対するプルーフオブコンセプトエクスプロイトをリリースしました。
これにより、研究者「Nightmare Eclipse」が過去6週間で公開した欠陥は6つになり、その中には攻撃者がすでに積極的に悪用しているもの、およびサイバーセキュリティ・インフラセキュリティ局(CISA)が既知の悪用された脆弱性(KEV)のカタログに含めたものがあります。
6週間で6つの脆弱性
Nightmare Eclipseは、マイクロソフトの2026年5月のセキュリティアップデート後の数日間に、3つの新しい脆弱性を公開しました。これらの脆弱性はYellowKey、GreenPlasma、MiniPlasmaとして追跡されています。
LevelBlueの研究者によって説明されたYellowKeyは、LevelBlue「物理的なアクセスとUSBデバイスを持つ任意の攻撃者がBitLockerの暗号化を無効にし、暗号化されたラップトップに即座にアクセスすることを可能にする」ことができます。攻撃者がする必要があるのは、武装したUSBをBitLocker暗号化対応のターゲットマシンに挿入し、Windowsリカバリ環境(WinRE)への再起動を待つか強制し、特定のキーの組み合わせを入力してエクスプロイトをトリガーするだけです。LevelBlueによると、物理的にアクセス可能なデバイスに対してBitLocker暗号化保護を完全に無効にするために、攻撃者は認証情報、PIN、またはBitLockerの暗号化TPMバイパスは必要ありません。
一方、GreenPlasmaはWindows 10、Windows 11、およびWindows Serverに影響する脆弱性です。これは、テキスト入力サービスを管理するWindowsコンポーネントを悪用して、攻撃者が脆弱なデバイス上の特権をSYSTEMにエスカレートすることを可能にします。LevelBlueによるとただし、Nightmare EclipseのPoC(概念実証)は少なくとも今のところ最終的なSYSTEMステージに達しておらず、攻撃者がそれを完全に悪用するためにはWindowsの内部について理解する必要があることを意味します。セキュリティベンダーは述べています。正常に悪用された場合、脆弱性はLevelBlueによると、完全にパッチされたWindowsシステム上での認証情報の収集、横方向への移動、永続性、およびセキュリティバイパスを可能にします。
「YellowKeyは適切に悪用されるために物理的なアクセスが必要です。GreenPlasmaはローカル特権エスカレーションですが、私たちはこれらがソーシャルエンジニアリング攻撃と組み合わせて悪用されるのをしばしば見ています」と、LevelBlueのセキュリティ研究マネージャー、SpiderLabs Threat IntelligenceのKarl Sieglerは述べています。「典型的なシナリオは、脅威アクターがターゲットユーザーをリモート監視管理(RMM)ソフトウェアのインストールに説得することです。その後、このリモートアクセスを使用してエクスプロイトをトリガーし、汎用ユーザーからSYSTEMへのアクセスを昇格させることができます」と、彼はDark Readingへのコメントで述べています。
6年前からのパッチされていない欠陥?
一方、MiniPlasmaはCVE-2020-17103のエクスプロイトであり、Windows Cloud Files Mini Filter Driverの特権昇格脆弱性であり、Google’s Project Zeroの研究者が報告したのは2020年のことです。マイクロソフトは当時この欠陥に対してパッチをリリースしましたが、Google’s proof-of-concept exploitは変更なしで引き続き機能します。Nightmare Eclipseは、CVE-2020-17103のエクスプロイトを開発するためにPoC(概念実証)を武装したと主張し、攻撃者が脆弱なシステムの完全な制御を得ることを可能にします。
Nightmare Eclipseが過去6週間にリリースした他の3つの欠陥はBlueHammerおよびRedSunであり、本質的に攻撃者がMicrosoft Defenderをユーザーに対する攻撃ツールに変える可能性があります。また、UnDefendは、攻撃者がMicrosoft Defenderの新しい脅威を検出および保護する能力を徐々に低下させることができる脆弱性です。
マイクロソフトは、CVEを正式に割り当て、パッチをリリースしたのはBlueHammer(CVE-2026-33825)だけであり、これはCISA’s KEVに含まれています。Nightmare Eclipseによると、マイクロソフトは、エクスプロイト活動を示す兆候があるにもかかわらず、CVEや公開アドバイザリなしに、公開された別の脆弱性RedSunに静かに対処したようです。他の脆弱性はパッチされていないままです。
Nightmare Eclipseからの最新の公開に関するDark Readingのリクエストに応じて、マイクロソフトの広報担当者は、同社が「疑わしい脆弱性について認識しており、プラットフォームとサービス全体にわたってこれらの主張の有効性と潜在的な適用可能性を積極的に調査している」と述べました。
マイクロソフトは、報告されたセキュリティの問題を調査し、影響を受けた製品を更新して、可能な限り早くお客様を保護することにコミットしています。同社の声明は読みました。「重要なことに、私たちは調整された脆弱性開示をサポートしており、これは業界標準であり、調査結果が公開される前に徹底的に調査され対処されることを保証することで、お客様を保護し、研究コミュニティをサポートしています。」
Nightmare Eclipseの開示は、Windowsセキュリティの基礎であると考えられるコンポーネントに重大な弱点を明らかにしています。BarracudaのシニアチーフサイバーセキュリティストーリーテラーであるChristine Barryは述べています。「3つのエクスプロイトは特権エスカレーションを目指し、1つはDefenderの脅威検出能力を無効にし、別のものはBitLockerドライブ暗号化をバイパスし、1つは2020年にパッチされたと言われているが今日は完全に更新されたWindows 11システムで引き続き悪用可能な脆弱性を公開しています」とBarryは述べています。これらの脆弱性を一緒に使用すると、攻撃者に運用上の攻撃チェーンを提示します。エクスプロイトは、Defender、BitLocker、およびマイクロソフトのセキュリティパッチに関する仮定がすべて異議を唱えられることを示しており、彼女は付け加えました。
マイクロソフトの開示モデルがリスクを高める
「マイクロソフトは制御不能な開示モデルと要求をしていない恐喝行為者に対処しています」とBarryは述べています。「従来の調整された脆弱性開示は、ベンダーにエクスプロイトが公開される前にパッチを当てるためのウィンドウを与えます。Nightmare Eclipseはそのモデルを完全に拒否しました—パッチ火曜日直後にリリースをタイミングしてパッチサイクルの次の間のギャップを最大化するために。」
公開された脆弱性の悪用可能性は大きく異なると、ThreatLockerのシニアサイバーセキュリティエンジニアであるKieran Humanは述べています。「MiniPlasmaは比較的簡単に悪用でき、おそらく最も直ちに懸念されるもの」と彼は述べています。他のものは、彼が指摘しているようにはるかに限定的です。YellowKeyは物理的なアクセスが必要であり、インサイダーシナリオの外でリスクを減らします。GreenPlasmaはその現在の形式では不完全です。公開されたproof-of-conceptはまだコンセントプロンプトをトリガーし、有用であるために追加の開発が必要になるでしょう。
Nightmare Eclipseの脆弱性開示からの最大のメッセージは、組織はパッチのみがシステムを安全に保つという仮定の周りにセキュリティ戦略を構築することはできないということです。Humanは述べています。研究者は新しい脆弱性を発見し続け、組織はその現実に対処して適切に対応する必要があります。「つまり、許可リスト、アプリケーションコンテイメント、および認識されていないコードの実行をブロックし、特権を制限する同様のコントロールなど、デフォルトで拒否するディフェンスを実装することを意味します」とHumanは述べています。「多くの場合、それらのコントロールはエクスプロイト実行を完全に停止できます。他では、彼らは影響を含み、横方向の移動を制限するのに役立ちます。[エンドポイント検出と応答]は、予防戦略が失敗した場合の最後の防衛線として見なされるべきです。」
LevelBlueのSieglerは、マイクロソフトのこれまでのレスポンスを状況を考えると理解できると認識しています。「彼らは、既存のソフトウェアに干渉しないパッチを開発できることを確認しながら、完全に脆弱性を解決することを確認する必要があります」と彼は述べています。「時々、これのようなゼロデイは、掘り下げたときにはただの氷山の一角です。そして、部分的なパッチをリリースすることは、あなたがすべてのpのqのマインドを保たれていることを確認するよりも悪く見えます。」
