Nightmare Eclipseと名乗るセキュリティ研究者とMicrosoftとの間で続く対立が、また新たな注目のゼロデイ開示へと発展しました。RoguePlanetと名付けられた実証済みのエクスプロイトがオンライン上に公開されており、このツールはMicrosoft Defenderを標的として、最新の状態に更新されたWindows 10およびWindows 11環境でローカル特権昇格を実現します。
競合状態の解析
このエクスプロイトは、不安定な競合状態(レースコンディション)を利用します。この並行処理上の異常は、複数のソフトウェアプロセスが同一の共有メモリリソースに同時アクセスしようとする際に発生します。攻撃者はこの一時的な処理ウィンドウを操作してアプリケーションのロジックを破壊することが可能で、攻撃に成功すると完全なSYSTEMセキュリティコンテキストで動作する管理者端末が起動します。
GitHubおよびGitLabで繰り返しコンテンツが削除されたため、Nightmare EclipseはPoC(概念実証コード)を複数の冗長インフラに公開しました。企業側の介入にもかかわらず、研究内容の可視性を維持しようとする意図がうかがえます。
技術的検証と動作の不安定性
セキュリティ企業ThreatLockerは、RoguePlanetバイナリの有効性を検証しました。同社のエンジニアは、最新の累積更新プログラムKB5094126を適用したセキュリティ強化済みWindows 11ホスト上で攻撃を実証しています。ただし、作者自身もこのエクスプロイトの動作に不安定さがあることを認めており、特定のハードウェア構成では確実に失敗する一方、別の環境では成功率が異なるとされています。
リモート傍受からローカル悪用へ
当初、この研究者はこの欠陥をリモートコード実行の手段として構想していました。その手法は、Defenderがリモートのファイルサーバーを介して送信されるデータパケットをSMBで解析する仕組みを標的とするものでした。しかし2026年5月中旬、Microsoftはこの根本的な通信メカニズムを密かに改修しました。この変更によって主要なリモート攻撃ベクターは遮断され、Nightmare Eclipseはペイロードをローカル実行向けに再設計することを余儀なくされました。なお、リモート実行能力については依然として検証段階にあるとしています。
バグバウンティと反抗の構造
今回の公開は、脆弱性の対価を巡る長期的な対立における最新の章です。ここ数ヶ月の間、Nightmare EclipseはBlueHammer、RedSun、GreenPlasma、YellowKeyをはじめとする複数の重大な欠陥を体系的に発見してきました。
このうち後者の2件については2026年6月のパッチチューズデーサイクルで修正されましたが、皮肉なことにそのタイミングはRoguePlanetの公開とちょうど重なっています。
かつてMicrosoftは、顧客のテレメトリデータを危険にさらす行為に対して法的措置を示唆していましたが、セキュリティ研究コミュニティからの広範な批判を受け、その姿勢を和らげています。
防御策と修正対応の現状
ThreatLockerは、厳格なアプリケーションホワイトリストを運用している企業ではRoguePlanetバイナリの実行を阻止できると指摘しています。現時点では、Microsoftはこの脆弱性に対する公式のセキュリティパッチを提供していません。そのため、各組織はエンドポイントのテレメトリを常時監視し、マルウェア対策サブシステムから生成される異常なプロセスの起動に細心の注意を払う必要があります。
翻訳元: https://meterpreter.org/microsoft-defender-exploit-tool/
