MicrosoftがYellowKey、GreenPlasma、MiniPlasmaのゼロデイ脆弱性にパッチを適用

マイクロソフトは火曜日、完全にパッチ適用済みのWindowsシステムで攻撃者がSYSTEM権限を取得できる2件のゼロデイ脆弱性と、BitLocker保護ドライブへのアクセスを可能にする3件目の脆弱性にパッチを適用しました。

これら3件の脆弱性はいずれも、Microsoftセキュリティレスポンスセンター（MSRC）の脆弱性開示プロセスへの抗議として、「Nightmare Eclipse」というハンドルネームを使用するセキュリティ研究者によって先月公開されたものです。

「GreenPlasma」および「MiniPlasma」と呼ばれるこれら2件の権限昇格脆弱性（CVE-2026-45586 および CVE-2020-17103 として追跡）は、Collaborative Translation Framework（CTFMON）とCloud Files Mini Filter Driverに発見されたもので、ローカルの攻撃者が完全にパッチ適用済みのWindowsシステム上でSYSTEM権限のシェルを取得できるものです。

昨日パッチが適用された3件目のゼロデイはYellowKey（CVE-2026-45585 として追跡）と呼ばれ、Windowsの起動関連の問題を修復するために使用されるWindows回復環境（WinRE）にバックドアとして機能します。

対象デバイスへの物理的アクセスを持つ攻撃者は、YellowKeyのエクスプロイトを使用することで、パッチ未適用のWindows 11およびWindows Server 2022/2025システムにおけるBitLocker保護を回避できます。

マイクロソフトはYellowKeyを悪用した実際の攻撃に備えた緩和策を公開する一方、概念実証コードが「協調的脆弱性開示のベストプラクティスに違反して公開された」と強く非難しました。

マイクロソフトは火曜日、2026年6月のPatch Tuesdayアップデートの一環として、GreenPlasma、MiniPlasma、YellowKeyの各脆弱性を修正しました。

過去数カ月の間に、Nightmare EclipseはBlueHammer（CVE-2026-33825）とRedSun（識別子なし）の概念実証エクスプロイトも公開しており、これら2件のローカル権限昇格（LPE）ゼロデイ脆弱性は現在、実際の攻撃で積極的に悪用されています。

さらに最近では、標準ユーザー権限を持つ攻撃者がMicrosoft Defenderの定義ファイル更新をブロックするために悪用できるゼロデイUnDefendもリークしました。そして今週火曜日には、脅威アクターがSYSTEM権限のコマンドプロンプトを起動できるMicrosoft Defenderのゼロデイエクスプロイト「RoguePlanet」も公開されました。

マイクロソフトは当初、これらのゼロデイリークに対して法的措置をちらつかせて対応しましたが、ソーシャルメディアでの激しい反発を受けて方針を転換しました。現在は、セキュリティ研究者が「法律を破り、顧客に実害をもたらす悪意のある活動に従事した」場合に限り法執行機関と協力すると表明しています。