パッチチューズデー直後にDefender脆弱性のエクスプロイトコードが公開、非協調的な開示慣行をめぐる衝突が再燃
Microsoftとセキュリティリサーチャー「Nightmare Eclipse」との長年にわたる確執が、新たな局面を迎えました。
Eclipseは過去数ヶ月にわたり、脆弱性開示の慣行をめぐってMicrosoftと対立しながら、パッチ未適用のWindows脆弱性を公開し続けてきた研究者で、今回「RoguePlanet」と名付けられた新たなゼロデイ脆弱性のエクスプロイトコードを公開しました。
Eclipseによると、このエクスプロイトはMicrosoft Defenderに存在する競合状態の問題を悪用するもので、攻撃成功率は100%未満ながら、最新のアップデートを適用したWindowsでもSYSTEMレベルの権限を取得できる可能性があるといいます。
以前と同様、このエクスプロイトはMicrosoftが2026年6月のパッチチューズデーを公開した直後に登場しました。今月のパッチでは、緊急度が高い32件を含む200件以上のセキュリティ上の欠陥に対する修正が提供されています。「タイミングが全てを物語っています。MiniPlasmaは2026年5月13日、つまりMicrosoftの5月パッチチューズデーのわずか1日後にリリースされており、防御側は数週間にわたってベンダーの公式パッチを入手できない状態に置かれます」と、ColorTokensのチーフエバンジェリストであるAgnidipta Sarkar氏は、Eclipseが以前行った「MiniPlasma」の開示について述べていました。
このエクスプロイトは、新たなGitHubリポジトリ「MSNightmare」に公開されました。これは明らかにMicrosoftを意識したネーミングであり、GitHubがEclipseのオリジナルリポジトリを削除した後の措置です。GitHubはMicrosoftの傘下にあります。Eclipseによる以前の開示のうち、いくつかはエクスプロイトコードが公開されてまもなく実際の攻撃に利用されたとも報告されており、Microsoftをはじめとするセキュリティベンダーがすでに警告を発しています。
SYSTEMアクセスによるコード実行を可能にする脆弱性
Eclipseは6月9日のブログ投稿「RoguePlanet, a quick history」の中で、このWindows Defenderの脆弱性の初期段階について説明しています。技術的な詳細は乏しいものの、ブログでは「リモートのSMBサーバ上の.vhd(x)ファイルを被害者に開かせる」という手法に関連していると述べられています。
そうすることで「Defenderが自身のファイルを上書きし、最終的にRCEが発生する」とその解説には記されています。この説明を大まかに解釈すると、リモートのSMBサーバ(Server Message Block)に保存された特細工を施された仮想ハードディスク(.vhd)イメージ内の悪意あるメタデータを実行できる脆弱性ということになります。
Eclipseが公開したPoCエクスプロイトは最終的にSYSTEMシェルを生成し、攻撃者による任意のコード実行を可能にします。
5月中旬にDefenderに適用されたパッチにより、Eclipseが詳説した最初の攻撃経路は塞がれ、「ジャンクション攻撃が無効化された」とされています。これを受けてEclipseはRoguePlanetを書き直し、修正を回避できるよう改良しました。現行バージョンのエクスプロイトは、2026年6月のパッチを適用したWindows 11(正式チャンネル+Canary)およびWindows 10に対して有効とされています。
ただし、Windows Serverに対してはPoCコードは機能しませんでした。標準ユーザーが「ISOイメージをマウントできない」ためです。Eclipseはこの例外に対応したエクスプロイトを再設計するには「消耗しすぎている」としながらも、悪用は可能だと確信しているとしています。
脆弱性公開の背景にある確執
Microsoftは最近、EclipseのGitHubアカウントを削除し、Microsoft Security Response Center(MSRC)へのアクセスも無効化しました。この措置を受けて、GitLabも研究者のサブアカウントのミラーを停止しています。
Microsoftは5月27日のブログ投稿で、協調的な脆弱性開示が行われていないことを批判し、法的措置をほのめかしました。同社は、今回の公開開示が攻撃者を利する行為であり、法執行機関と連携するデジタル犯罪部門が関与していると述べています。
「RedSun、UnDefend、BlueHammer、YellowKey、GreenPlasma、そしてMiniPlasmaとして知られる脆弱性は、責任ある方法で開示されませんでした」と同社はEclipseが開示した脆弱性について述べています。「パッチ未適用の脆弱性のProof of Conceptコードを悪意ある行為者の手に渡す非協調的な開示は、いかなる場合も正当化できず、現実の世界に深刻な影響をもたらします。」
サイバーセキュリティアナリストのKevin Beamount氏は、Microsoftの対応を「自業自得のゴミ箱炎上」と評しました。Beaumont氏は、同様にMicrosoftの脆弱性を開示してエクスプロイトコードを公開した「SandboxEscaper」という名前を使う元研究者について取り上げ、2019年にMicrosoftがそのような研究者を採用した前例を指摘しています。
「Microsoftが最新のブログで犯罪行為だと主張していることを行ったとして、Microsoft自身が公然と人材を採用した事実を指摘しているのです」とBeaumont氏は述べています。
MicrosoftはCSO Onlineのコメント要求に対し、即座には返答しませんでした。
Eclipseは6月9日にGitHubへの復帰を発表しました。「そう、またGitHubです。Microsoftは、私のGitLabとGitHubアカウントをBANしても、私のコードを消し去ることはできないということを忘れていました。一度公開されたものは、もう削除できません。」
