「RoguePlanet」と名付けられた新たなゼロデイ脆弱性が Microsoft Defenderに影響を与えており、攻撃者が権限昇格を行い、脆弱なWindowsマシン上でSYSTEMレベルの完全なアクセス権を取得できることが明らかになりました。
あるセキュリティ研究者が「MSNightmare」という名義でGitHubにこの問題を公開し、概念実証(PoC)エクスプロイトをリリースしました。この脆弱性はWindows 10およびWindows 11の両システムに影響することが確認されており、2026年6月のパッチを完全に適用済みのシステムも例外ではないため、実際の悪用への懸念が高まっています。
Windows Defenderのゼロデイ脆弱性「RoguePlanet」
PoCのドキュメントによると、RoguePlanetはMicrosoft Defenderのスキャンまたはファイル処理メカニズム内に存在する競合状態(レースコンディション)を悪用します。競合状態の脆弱性は、複数のプロセスが同時に共有リソースにアクセスする際に発生し、攻撃者が実行タイミングを操作して意図しない動作を引き起こすことを可能にします。
攻撃が成功した場合、PoCはNT AUTHORITY\SYSTEM権限を持つコマンドシェルを生成する状態を引き起こします。これはWindows環境における最高レベルのアクセス権です。この制御レベルにより、攻撃者は任意コードの実行、持続的なマルウェアのインストール、セキュリティツールの無効化、そしてネットワーク内での横移動が可能になります。
このエクスプロイトは競合状態という性質上、不安定な動作を示すことがあります。しかし研究者によると、一部のシステムでは複数回の試行後に100%近い成功率を達成しており、実際の悪用が現実的に可能であることが示されています。
影響を受けるシステム
RoguePlanet脆弱性は以下のシステムで検証されています:
- 2026年6月アップデート適用済みのWindows 10
- Windows 11(OfficialビルドおよびCanaryビルドを含む)
提供されているPoCはWindows Server環境では動作しませんが、この制限は標準ユーザーがISOイメージをマウントできないといった制約によるものです。研究者は、Windows Serverバージョンも脆弱性の影響を受ける可能性が高いとしていますが、悪用にあたっては攻撃チェーンの改変が必要になるとしています。
C++で記述されたこのPoCは、攻撃ベクターの一部としてISOマウント動作を利用します。ファイル操作のタイミングを精密に制御することで、エクスプロイトはDefenderによるスキャン済みコンテンツの処理を悪用して権限昇格を引き起こします。
競合状態という性質上、悪用の成否はシステムのタイミングやリソースの可用性に左右されます。しかしながら、攻撃者がこの手法を洗練させて信頼性を向上させる可能性もあり、武器化された場合には重大な脅威となります。
公開されたエクスプロイトコードの存在は、実際の攻撃リスクを大幅に高めます。脅威アクターはこのPoCを自動化ツールに転用する可能性があり、特に侵害された環境でのポストエクスプロイテーション段階における権限昇格への悪用が懸念されます。
Microsoft Defenderを主要なセキュリティ制御として利用している組織は、公式パッチがリリースされるまでの間、リスクへの露出が高まる可能性があります。
翻訳元: https://gbhackers.com/windows-defender-zero-day-rogueplanet/
