Microsoftは、「RoguePlanet」エクスプロイトを通じてトリガー可能なMicrosoft Defenderのローカル特権昇格の問題を認め、「この脆弱性に対処する高品質なセキュリティアップデートの提供に取り組んでいる」と表明しました。
CVE-2026-50656という識別子が割り当てられたこの脆弱性は、ファイルアクセス前の不適切なリンク解決に起因するものです。認証済みの攻撃者がユーザー操作を一切必要とせず、低い複雑性の攻撃で悪用できます。
Nightmare Eclipseによるゼロデイエクスプロイト
RoguePlanetは、身元不明のセキュリティ研究者「Nightmare Eclipse」が公開したエクスプロイトの一つです。同研究者は2026年3月以降、同社との争いへの報復と思われる形で、Microsoftソフトウェアにおけるゼロデイ脆弱性のエクスプロイトを公開し続けています。
この研究者はこれまで、以下を含む複数のMicrosoftゼロデイのPoC(概念実証)を公開しています。
- BlueHammerおよびRedSun(Windowsのローカル特権昇格脆弱性2件)
- UnDefend(Microsoft DefenderのDoS脆弱性)
- YellowKey(BitLockerのバイパスバグ)およびGreenPlasma(Windows CTFMONの特権昇格脆弱性)
Nightmare Eclipseは、Microsoftが2026年6月のPatch Tuesdayリリースを公開した当日にRoguePlanetエクスプロイトを公開しました。なお、このPatch TuesdayにはYellowKeyとGreenPlasmaの修正も含まれていました。
パッチが必要なRoguePlanetゼロデイ(CVE-2026-50656)
RoguePlanetはWindows Defenderのレース条件を悪用し、SYSTEMレベルの権限で動作するコマンドシェルを生成することで、実質的にローカル特権昇格を実現します。
この脆弱性は、完全にパッチが適用されたWindows 10およびWindows 11デバイスに影響します。複数の研究者によれば、Nightmare Eclipse自身がレース条件の勝利に依存するため毎回成功するとは限らないと認めているにもかかわらず、説明どおりに機能することが確認されています。
「シグネチャによるPoC検出・ブロックの試みを数多く確認していますが、PoCに小さな変更を加えるだけで対策を完全に回避できるため、いずれも有効ではないようです。現実的にできることは、Microsoftのパッチを待つことだけです」と、この研究者は月曜日に記しています。また、Microsoft DefenderのリアルタイムプロテクションのON/OFFに関わらずPoCが機能することも明らかにしました。
MicrosoftはCVE-2026-50656のパッチ公開時期について明言していません。
セキュリティアドバイザリの情報によると、MicrosoftはRoguePlanetバグが実際に悪用された事例を検出していないとのことです。しかしながら、同ベンダーは悪用可能性指数において、この脆弱性を「悪用の可能性が高い(Exploitation More Likely)」と評価しています。
Microsoftと脆弱性開示をめぐる動向
Microsoftはセキュリティアドバイザリにおいて、この脆弱性を開示したNightmare Eclipseや他の誰にもクレジットを記載していませんが、これは予想の範囲内です。同社は協調的な脆弱性開示を推進しており、Nightmare Eclipseがゼロデイエクスプロイトを継続的に公開していることから、この研究者はMicrosoftにとって大きな悩みの種となっています。
5月下旬、Microsoft Security Response Center(MSRC)チームはNightmare Eclipseのゼロデイ開示について見解を示しました。しかし、「犯罪行為」を可能にする者をDigital Crimes Unitが追訴するという警告を含んでいたため、セキュリティコミュニティの多くが正当な脆弱性研究への脅しと受け取り、研究者たちの強い反発を招きました。
チームはその後、「セキュリティ研究を実施・公開している個人を追訴する意図はない」と補足説明しました。
翻訳元: https://www.helpnetsecurity.com/2026/06/17/rogueplanet-zero-day-cve-2026-50656/
