MiniPlasmaの脅威の出現
MiniPlasmaと命名された危険なゼロデイ脆弱性が、Windowsエコシステム内で現在も活発に悪用されています。この重大なアーキテクチャ上の欠陥により、ローカルの攻撃者は即座にSYSTEMレベルの完全な管理者権限を取得することができます。その結果、悪意のある行為者は侵害されたホストコンピュータを完全に掌握することが可能となります。この重大な脅威に対応するため、Microsoftは2026年6月9日に公式セキュリティパッチを配布する予定です。
事前通知なき公開とゼロデイの拡散
この悪意ある攻撃キャンペーンを最初に公開したのはKaspersky Labです。注目すべきことに、Nightmare Eclipseとして知られる匿名のセキュリティ研究者が、パッチ未適用のWindows脆弱性を6件公開しました。Chaotic Eclipseとも呼ばれるこの人物は、実際に機能するPoCエクスプロイトのバイナリをオンライン上に即座に公開しています。Microsoftはこれらの脆弱性について事前の通知を受けていなかったため、公開前に修正策を講じる時間がありませんでした。
過去の脆弱性の復活
公開されたエクスプロイトの中でも、MiniPlasmaはエンタープライズネットワークにとって最も深刻な運用上の危険をもたらします。この脆弱性は、2020年に修正されたとされていたCVE-2020-17103と完全に一致するものです。残念ながら、最新の状態にアップデートされたWindows 11であっても、この復活した攻撃手法に対して依然として高い脆弱性を持っています。Windows Server 2022およびWindows Server 2025のインフラも同様に、同一の脆弱性を抱えています。
Cloud Filterドライバー悪用のメカニズム
この新たな脆弱性は、前身となった脆弱性と同様に、ネイティブのCloud Filterドライバーを悪用するものです。具体的には、HsmOsBlockPlaceholderAccessプロシージャ内の構造的な異常を標的としています。この攻撃ベクターはローカル特権昇格の手段として機能するため、攻撃者はエクスプロイトを実行する前にシステムへの初期アクセスを確保する必要があります。
テレメトリデータによれば、この脆弱性は2026年4月10日以降、実際の攻撃に使用されています。また、エクスプロイトコードが公開されたことで、技術力の低い脅威アクターにとっても参入障壁が大幅に下がっています。
主な侵害の痕跡(IoC)
幸いなことに、Kaspersky Labは実際の攻撃を特定するための具体的な行動テレメトリを詳細に公開しています。まず、防御担当者はレジストリパスHKU\.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedAppsを監査し、異常なシンボリックリンクが存在しないか確認する必要があります。次に、侵害が進行中の場合、ネイティブのwermgr.exeバイナリが標準のシステムディレクトリ以外の場所に出現する可能性があります。また、管理者は標準外のフォルダから実行されているコアシステムファイルをフラグとして記録する必要があります。さらに、公開されているエクスプロイトはWindowsレジストリの低レベル操作にNtApiDotNetライブラリを使用しています。
エラーレポートとプロセス生成の監視
セキュリティチームは、CloudFiles\BlockedAppsレジストリキーへの変更に特に注意を払う必要があります。このエクスプロイトは、動作を隠蔽するために\Microsoft\Windows\Windows Error Reporting\QueueReportingタスクを悪用します。したがって、wermgr.exeがC:\Windows\System32またはC:\Windows\SysWOW64以外の場所で起動した場合は、直ちに隔離措置を講じる必要があります。最後に、セキュリティオペレーションセンターはエラーレポートユーティリティから生成されるすべての子プロセスを精査してください。
パッチチューズデーまでの暫定的な緩和策
Microsoftの公式ホットフィックスが提供されるまでの間、ネットワーク管理者は不審なレジストリ活動について環境を積極的に監視する必要があります。また、標準外のシステムバイナリ実行パスに対して厳格な検知ルールを実装することも重要です。さらに各組織は、進行中の侵害を検知するために、Windows Error Reportingフレームワーク内での異常な動作を継続的に追跡しなければなりません。
翻訳元: https://meterpreter.org/miniplasma-windows-zero-day/
