Nightmare Eclipseの研究者が、Microsoft Windows Defenderにおける未公開の競合状態(レースコンディション)脆弱性を標的とした新たな概念実証(PoC)エクスプロイト「RoguePlanet」を公開しました。
この公開は挑発的なタイミングで行われており、Microsoftが2026年6月のパッチチューズデー更新プログラムをリリースし、同研究者の過去の報告2件に対処したわずか数時間後に投稿されました。
エクスプロイトが成功した場合、SYSTEMレベルの権限を持つコマンドシェルが起動され、攻撃者は侵害されたWindowsマシン上で最高位のアクセス権を取得できます。
RoguePlanetはローカル権限昇格(LPE)エクスプロイトであり、Microsoft DefenderのファイルprocessingロジックにおけるTOCTOU(Time-of-Check-to-Time-of-Use)型の競合状態を悪用するものです。
権限を持たない一般ユーザーであっても、SYSTEMとして動作するDefenderが実行するファイル操作をリダイレクトし、攻撃者が制御するコードを最高権限で実行させることが可能です。
この攻撃手法は、Nightmare EclipseのBlueHammerエクスプロイト(CVE-2026-33825)で確認された広範なTOCTOU脆弱性クラスと共通しており、Defenderのファイル修復プロセスが書き込み操作時にファイルパスを適切に検証できず、攻撃者がNTFSジャンクションポイントを経由して操作をリダイレクトできるという問題を利用しています。
GitHubへの投稿によれば、このエクスプロイトは2026年6月のパッチを適用した完全最新版のWindows 10およびWindows 11(正式安定版リリースチャンネルおよびCanaryインサイダープレビュービルドを含む)上での動作が確認されています。
添付のスクリーンショットには、権限昇格したconhost.exeセッション上でwhoamiコマンドを実行した結果としてnt authority\systemが返され、SYSTEMシェルが起動されている様子が写っており、実環境での攻撃成功が実証されています。
現在のPoCは、標準ユーザーがISOイメージをマウントできないという制約から、Windowsサーバー環境では動作しません。ただし、研究者は全バージョンのWindows Serverも脆弱性の影響を受けると明言しています。
この制限はPoCの設計上の技術的な制約にすぎず、脆弱性そのものに起因するものではありません。つまり、エクスプロイトを改変すれば、サーバーインフラ上でも同様の攻撃が成立し得ます。
RoguePlanetは、Chaotic EclipseまたはDead Eclipseとも呼ばれるNightmare Eclipseがこれまでに公開した7番目のエクスプロイトであり、研究者らはMicrosoftへのエスカレートする報復キャンペーンと見ています。
過去の公開物にはBlueHammer(CVE-2026-33825)、RedSun、UnDefend、YellowKey、GreenPlasma、MiniPlasmaが含まれており、いずれもWindows DefenderまたはWindowsのコアコンポーネントを標的としています。
あるサイバーセキュリティ企業は、初期分析によりRoguePlanetが有効かつ説明どおりに機能することを確認したと述べています。
また、Huntressが検出した実際の攻撃チェーンにおいて、BlueHammer、RedSun、UnDefendといったNightmare Eclipseの以前のツールが使用されており、このエクスプロイトが実際の侵害にも利用されていることが確認されています。
本稿執筆時点で、MicrosoftはRoguePlanetに対するCVE識別子やセキュリティアドバイザリを発行していません。この脆弱性はいまだ未修正であり、完全に更新されたWindows 10およびWindows 11ユーザーはローカル権限昇格のリスクにさらされ続けています。
各組織においては、公式パッチがリリースされるまでの間、Defenderに関連するプロセスを中心にSYSTEMレベルの異常なプロセス起動を監視するとともに、エンドポイント検出やアプリケーションホワイトリストを含む多層防御の強化が推奨されます。
翻訳元: https://cyberpress.org/new-windows-defender-0-day-enables-system-level-privilege-escalation/
