Microsoftは、Microsoft Defenderの中核コンポーネントであるMicrosoft Malware Protection Engineに存在する深刻な権限昇格ゼロデイ脆弱性を公式に認めました。この脆弱性はCVE-2026-50656として追跡されており、「RoguePlanet」と公に呼ばれています。
この脆弱性は2026年6月16日にMicrosoft Security Response Center(MSRC)によって正式に公開され、CVSSv3.1スコアは7.8(重要)と評価されています。現時点でパッチは提供されておらず、実際に動作する公開エクスプロイトがすでに出回っています。
この脆弱性は権限昇格(EoP)脆弱性に分類され、CWE-59(ファイルアクセス前の不適切なリンク解決、いわゆる「リンクフォロー」)に起因しています。現在稼働しているすべてのMicrosoft Defenderに組み込まれたコアスキャンコンポーネントであるMicrosoft Malware Protection Engineに直接影響を与えます。
CVSSベクター文字列によると、この脆弱性はローカルから悪用可能で、低い権限さえあれば悪用でき、ユーザーの操作も不要です。機密性・完全性・可用性のすべてに対して高い影響を及ぼします。
アドバイザリの中でも特に懸念されるのは2つの指標です。修正レベルは「利用不可(Unavailable)」とされ、エクスプロイトコードの成熟度は「機能的(Functional)」と評価されています。これらを合わせると、完全に動作する公開概念実証(PoC)コードが存在する一方、公式の修正は見通しが立っていないことが裏付けられます。
RoguePlanetは2026年6月10日、Microsoftが2026年6月のPatch Tuesdayを締めくくってから数時間後に、Nightmare EclipseおよびChaotic Eclipseという別名を使う研究者によって初めて公開されました。
これは同研究者が2026年3月以降に公開した4番目のMicrosoft Defenderゼロデイであり、BlueHammer、UnDefend、RedSunに続くものです。これらはいずれもMicrosoftがすでにパッチを提供済みです。
Patch Tuesdayの直後というリリースのタイミングにより、次のパッチ適用サイクルまで数週間の猶予が生じることになり、企業・個人を問わず脆弱性が露出する期間が最大化されています。
このエクスプロイトはDefenderのリアルタイムスキャンエンジンにおけるTOCTOU(Time-of-Check-to-Time-of-Use)競合状態を狙ったものです。Defenderがファイルパスを検証する瞬間と、実際に処理を行う瞬間のわずかなタイミングの隙を突きます。
競合状態の制御に成功すると、エクスプロイトはNT AUTHORITY\SYSTEMとして動作するWindowsコマンドプロンプトを生成します。これはあらゆるWindowsマシンにおける最高レベルの権限です。
セキュリティ企業ThreatLockerは独自にこのエクスプロイトを再現し、2026年6月の累積アップデートKB5094126を適用した完全パッチ済みのWindows 11システム上でも有効であることを確認しました。現存するいかなるアップデートもリスクを軽減できないことが証明されています。
さらに懸念されるのは、Nightmare EclipseがDefenderのリアルタイム保護の有効・無効を問わずPoCが動作することを確認し、パッシブモードでも機能する可能性があると述べたことです。
これにより、多くの組織が真っ先に思いつく回避策は無効化されます。競合状態の性質上、エクスプロイトの成功率はマシンによって異なりますが、研究者はより多くの構成環境で一貫した成功率を達成できるよう改良できると自信を示しています。
シグネチャベースの対策によるエクスプロイトの検出・ブロックを試みるセキュリティコミュニティの取り組みは、ほとんど効果がないことが明らかになっています。Nightmare EclipseはPoCにわずかな改変を加えるだけで、あらゆる検出ルールを完全に回避できると述べています。
MicrosoftはCVE-2026-50656を悪用可能性インデックスにおいて「悪用の可能性が高い(Exploitation More Likely)」と評価しています。公開情報はすでに確認されており、本稿執筆時点では実際の悪用は観測されていません。
アドバイザリの中でMicrosoftは「この脆弱性に対処する高品質なセキュリティアップデートの提供に向けて取り組んでいます」と述べていますが、具体的なパッチのリリース日は発表していません。
修正が利用可能になり次第、MSRCのCVEアドバイザリページが更新される予定です。機能する公開PoCが存在し、シグネチャベースの回避策もなく、パッチがまだ開発中である現状を踏まえると、セキュリティチームはこの問題を優先度の高い監視対象として扱うべきです。
Microsoftが公式の修正を提供するまでの最も現実的な暫定対策としては、すべてのWindows 10およびWindows 11エンドポイントに厳格な最小権限アクセス制御を適用すること、標準ユーザーによるディスクイメージのマウント機能を制限すること、そして異常なSYSTEMレベルのシェルアクティビティを検出するSIEMベースの検出を展開することが挙げられます。
翻訳元: https://cyberpress.org/microsoft-rogueplanet-defender-0-day/