Microsoft Defender「RoguePlanet」ゼロデイ、SYSTEM権限を付与

あるセキュリティ研究者が、Microsoftが2026年6月のパッチチューズデーで既知の2件の脆弱性を修正してからわずか数時間後に、「RoguePlanet」と名付けられたMicrosoft Defenderの新たなゼロデイエクスプロイトを公開しました。

Nightmare Eclipseという名で知られるこの研究者によると、新たな脆弱性は完全にパッチが適用されたWindows 10およびWindows 11デバイスに影響し、Microsoft Defenderの競合状態（レースコンディション）脆弱性を悪用することで、攻撃者がSYSTEM権限のコマンドプロンプトを起動できるとのことです。

この研究者は火曜日の午後、自己ホスト型のGitリポジトリでPoC（概念実証）エクスプロイトを公開しました。GitHubおよびGitLabにホストしていたリポジトリが以前Microsoftによって削除されたと述べた後のことです。

「このエクスプロイトはレースコンディションであるため、成功するかどうかは運次第です。一部のマシンでは100%の成功率を達成できましたが、別のマシンではうまく動作しないこともありました」とNightmare EclipseはGitリポジトリに記しています。

この脆弱性は、Windows 11の正式版およびCanaryビルド、さらに2026年6月のセキュリティ更新プログラムを適用したWindows 10システムに対してテストされたとのことです。

悪用に成功した場合、SYSTEM権限のWindowsコマンドプロンプトが起動します。

サイバーセキュリティ企業のThreatLockerはBleepingComputerに対し、自社のテストでこの脆弱性の再現に成功し、KB5094126が適用された完全パッチ済みのWindows 11システムでエクスプロイトが機能することを確認したと述べ、その様子を示したデモ動画を共有しました。

「初期分析により、RoguePlanetエクスプロイトが実際に機能し、説明どおりの動作をすることが確認されました。アプリケーション許可リスト（allowlisting）を使用している組織であれば、エクスプロイトの実行を防ぎ、この攻撃に対する有効な防御層を確保できます」とThreatLockerのCEOであるDanny Jenkins氏はBleepingComputerに語りました。

Nightmare Eclipseによると、RoguePlanetは当初、リモートSMB共有上でホストされたファイルの処理に関するMicrosoft Defenderの欠陥を突く、リモートコード実行（RCE）脆弱性として開発されたとのことです。

「開発初期の段階で、この脆弱性がリモートコード実行であることが確認されていました」と研究者はブログ記事で説明しています。

「攻撃者はリモートSMBサーバ上の.vhd(x)ファイルを被害者に開かせる必要があり、悪用に成功するとDefenderが自身のファイルを上書きし、最終的にRCEが実現されました。」

また研究者によると、シンボリックリンク評価設定が有効な環境では、被害者にSMB共有を開かせるだけでリモートコード実行につながる別の攻撃シナリオも存在するとのことです。

しかし研究者は、Microsoftが5月中旬に「mpengine!SysIO*」APIにひそかにパッチを当て、ジャンクション攻撃をブロックする形でDefenderを強化したと主張しています。

「RoguePlanetを再び機能させるために書き直す作業は心身ともに消耗するもので、他のシナリオを完成させることができませんでした。現時点では、RoguePlanetがLPE（ローカル権限昇格）にとどまるのか、あるいはRCEに転換する方法があるのかは依然として不明です」と研究者は記しています。

今回の公開は、Nightmare EclipseとMicrosoftの間で続く、同社の脆弱性開示およびバグバウンティの慣行をめぐる対立の一環です。

過去数か月にわたり、この研究者はBlueHammer、RedSun、GreenPlasma、YellowKeyを含む複数のWindowsゼロデイを公開してきました。その中にはMicrosoft Defenderを標的にしたものもあれば、BitLockerやWindowsコンポーネントを標的にしたものもあります。

Microsoftは本日、2026年6月のパッチチューズデー更新プログラムの一環として、GreenPlasmaとYellowKeyの脆弱性を修正しました。

Microsoftはこれまでの開示に対し、「顧客に実害を与える悪意ある活動」に従事する者とは法執行機関と協力して対応すると警告しており、サイバーセキュリティコミュニティの多くはMicrosoftが研究者を脅しているととらえていました。

Nightmare EclipseはMicrosoftがGitHubとGitLab上のリポジトリを繰り返し標的にして削除したと主張しており、これがきっかけとなり、projectnightcrawler.devにセルフホスト型のコードプラットフォームを開設したとしています。

BleepingComputerはこの新たなゼロデイについてMicrosoftに問い合わせており、声明が届き次第、本記事を更新する予定です。