- Chaotic Eclipse、Patch Tuesdayの数時間後に7つ目のWindowsゼロデイ「RoguePlanet」を公開
- 競合状態を悪用したエクスプロイトがSYSTEM権限を付与、ThreatLockerがPoCの有効性を確認
- 研究者はMicrosoftとの確執の中で公開開示を継続、BlueHammer、RedSun、UnDefend、YellowKey、GreenPlasma、MiniPlasmに続く今回の公開
Microsoftへの不満を抱くとされる謎多きセキュリティ研究者「Chaotic Eclipse」が、Microsoftが過去最多記録を更新した6月度Patch Tuesdayの累積アップデートをリリースしてから数時間後、完全にパッチ適用済みのWindows 11デバイスにおける新たなゼロデイ脆弱性を公開しました。
これはChaotic Eclipseが数ヶ月の間に公開した7つ目のゼロデイエクスプロイトです。「RoguePlanet」と名付けられたこの脆弱性は、完全にパッチ適用済みのWindows 10およびWindows 11デバイスにおいて攻撃者にSYSTEM権限を付与する「競合状態の脆弱性」と説明されています。
研究者は今週初め、自己ホスト型のGitにPoC(概念実証)エクスプロイトを公開しました。以前の研究を掲載していたGitHubとGitLabのリポジトリがMicrosoftによって削除されたと主張していたためです。
説明通りの動作を確認
「このエクスプロイトは競合状態を利用するため、成功するかどうかは一定ではありません。一部のマシンでは100%の成功率を達成しましたが、うまく動作しないケースもありました」と研究者は説明しています。
セキュリティ企業ThreatLockerはこの脆弱性が実際に機能することを当該媒体に対して確認し、動作を実証するビデオも撮影したと明らかにしました。
「初期分析の結果、RoguePlanetエクスプロイトは有効であり、説明通りに動作することが確認されています。アプリケーションの許可リストを使用している組織は、このエクスプロイトの実行を防ぐことができ、この攻撃に対する効果的な保護レイヤーが提供されます」と、ThreatLockerのCEOであるDanny Jenkins氏はBleepingComputerに語りました。
2026年4月初旬、Chaotic EclipseはWindows Defenderの権限昇格脆弱性であるBlueHammerを発見したと公開しました。当時、Microsoftの脆弱性開示への対応に不満を持っているとして情報を公開すると述べていました。
「私はこてんぱんにやられ、あらゆる子供じみな手を使われました。あまりにもひどくて、巨大企業を相手にしているのか、それとも私が苦しむのを楽しんでいる誰かを相手にしているのか分からなくなるほどでした。ただ、これは組織的な決定であるようです」と、研究者は後に詳述しています。
その後、RedSun、UnDefend、YellowKey、GreenPlasma、MiniPlasmの計6つの脆弱性がさらに公開されました。Microsoftは今月のPatch Tuesday累積アップデートをリリースし、このうちGreenPlasmとYellowKeyの2つを修正しています。
