Microsoftにとってゼロデイの「悪夢」はまだ終わっていないようです。過去3か月にわたって同社と対立し続けてきた不満を抱えた研究者が、ゼロデイ脆弱性とされるフローのPoC(概念実証)エクスプロイトをまたもや公開しました。
2か月連続で、先月に続き、「Nightmare-Eclipse」というオンライン名を使うその研究者は、Microsoftが昨日リリースした大量のPatch Tuesdayアップデート——記録的な206件のCVEを含む——の直後に、「RoguePlanet」と名付けたゼロデイエクスプロイトを公開しました。これらのアップデートの一部には、Nightmare-Eclipseが過去に公開した複数のゼロデイエクスプロイトへの対処も含まれていました。
最新のゼロデイも、Nightmare-Eclipseが公開した他のエクスプロイトと同様にWindows Defenderを標的にしたものです。「今回の脆弱性はレースコンディションを利用するため、成功するかどうかは運次第だ」と、研究者はRoguePlanetリリースのGitHubノートに記しています。成功した場合、このエクスプロイトはSYSTEMレベルの権限でコマンドシェルを起動し、攻撃者は侵害されたWindowsマシンを完全に制御できるようになります。
Nightmare-EclipseはMicrosoftがPoC作成を阻もうとしたことを認めつつ、5月のほぼ1か月間を費やして開発に取り組んだと述べており、RoguePlanetを発表したブログ投稿では「魂が消耗した」と表現しています。
現時点では、「標準ユーザーはISOイメージをマウントできない」ため、このPoCはWindows Serverでは機能しません。ただし、この問題を回避できるよう再設計すれば、すべてのWindows Serverバージョンが脆弱になるとNightmare-Eclipseは述べています。一方で、「このバグとは縁を切った」とGitHubノートに記しており、自ら再設計するつもりはないとしています。
Nightmare-Eclipseによると、このPoCはWindows 11(正式チャネルおよびCanaryリリース)と、2026年6月のPatch Tuesdayアップデートを適用したWindows 10でテスト済みです。
Microsoftとの続く対立
Nightmare-EclipseとMicrosoftの公開対立は、今やよく知られた経緯となっています。発端は4月、当初「Chaotic Eclipse」という名前を使っていたこの研究者が公開した「BlueHammer」エクスプロイトでした。このエクスプロイトはCVE-2026-33825として追跡されるゼロデイを対象としており、Windows Defenderのシグネチャ更新ワークフローにおけるTOCTOU(Time-of-Check to Time-of-Use)脆弱性でした。
当時、いまだ身元が特定されていないこの研究者は、自分が報告した脆弱性にMicrosoftが適切に対処しないことへの報復として、さらなるゼロデイ公開を予告しました。「Microsoftに対してはったりをかましていたわけではないし、今もそれは変わらない」と、当時のブログ投稿に記しています。Nightmare-Eclipseはその後この予告どおりに動き、他のMicrosoftゼロデイ脆弱性に関するPoCエクスプロイトをさらに5件——RedSun、UnDefend、YellowKey、GreenPlasma、MiniPlasma——公開しました。
Microsoftは4月のPatch TuesdayアップデートでBlueHammerの修正プログラムをリリースしました。しかしその修正は、BlueHammerを悪用する攻撃者を食い止めるには至らず、Nightmare-EclipseがRedSunとUnDefendを公開した後、攻撃者はそれらをも標的にしました。Microsoftは他のエクスプロイトについても修正プログラムをリリースしましたが、こうしたPoCの公開はMicrosoftユーザーにとって相当なリスクをもたらしています。
Trend MicroのZero Day Initiative(ZDI)で脅威啓発部門を率いるDustin Childs氏は、Nightmare-Eclipseをめぐる状況はおそらく良い結末を迎えないだろうと指摘します。「この情報公開はユーザーに影響を及ぼすでしょう。悪用される代わりに緊急パッチ適用プロセスを余儀なくされるとしても、です」とChilds氏はDark Readingに語っています。「Microsoftがこの人物に非公開での脆弱性開示をさせるために何が必要なのかは分かりませんが、明らかに研究者コミュニティへのアプローチ方法を改善する必要があります」
Microsoftの対応に批判の声
Nightmare-Eclipseが最初にエクスプロイトを公開し始めた当初、Microsoftは公式な対応を控えていましたが、5月末になってついに沈黙を破りました。5月27日に公開したブログ投稿で、Microsoft Security Response Center(MSRC)は6件の脆弱性について「責任ある情報開示の手続きに従っていない」と述べ、研究者の行動を非難しました。さらには、Nightmare-Eclipseのようにゼロデイを公開する研究者に対して刑事告発も辞さないと示唆するまでに至りました。
「パッチが当たっていない脆弱性のPoCコードを悪意ある者の手に渡す非協調的な情報開示は、いかなる理由でも正当化できず、現実の被害をもたらします」とMSRCは当時の投稿で述べています。「我々のデジタル犯罪ユニットは、こうした行為者およびその犯罪行為を支援する者に対して訴訟を継続し、必要に応じて世界中の法執行機関と連携していきます」
セキュリティ研究者からの反応は全体的に否定的なものでした。こうした脅しは近視眼的であり、バグハンターたちが発見内容をゼロデイブローカーやサイバー犯罪者に売り渡す動機になりかねないと指摘する声が相次ぎました。
「この対立は、無差別な破壊行為ではなく、協調的な脆弱性開示プロセスの崩壊として読み取るべきです」と、Black Duckのソリューション管理担当シニアディレクター、Collin Hogue Spears氏はDark Readingに語っています。Microsoftは後に脅しを撤回しましたが、同氏は「より持続的な解決策は、研究者に明確な回答と迅速かつ説明のある報奨金決定を提供し、明文化された法的セーフハーバーに裏付けられた情報開示チャネルを整備することだ」と指摘します。
「それはまた、研究者たちが指摘するような事態——脆弱性が公表されないまま修正され、発見者が公の場で非難される状況——を終わらせることも意味します」とSpears氏は述べています。
セキュリティ研究者やサイバーセキュリティベンダーは以前から長年にわたり、Microsoftの脆弱性開示プログラムや一部のクラウド脆弱性の開示における透明性の欠如を批判してきました。これを受けてMicrosoftは、2023年に開始したSecure Future Initiative(SFI)の柱の一つとして脆弱性開示と透明性を掲げ、その後これらの分野での改善を強調しています。
Nightmare-Eclipseの今後
Microsoftは水曜日時点で、Nightmare-Eclipseによる最新のエクスプロイトと今後の対応方針についてのDark Readingのコメント要求に即座には応じませんでした。
最新のPoCの開発で「心身ともに消耗した」と本人が認めているにもかかわらず、Nightmare-EclipseがMicrosoftへのゼロデイエクスプロイト公開を止める気配はなく、Windows Defenderの他の問題についてもさらなる公開が続く可能性が高いと見られています。
「Defenderをパスリダイレクト攻撃から保護しようとするMicrosoftの取り組みは無意味だ」と研究者は投稿に記しています。「Defenderにはメモリ破壊の脆弱性も複数手元にあるし、他のコンポーネントにも別の脆弱性をまとめて持っている」と続けています。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/nightmare-eclipse-microsoft-exploit-rogueplanet
