- MicrosoftがRoguePlanetをCVE‑2026‑50656として確認――DefenderのMalware Protection Engineにおける権限昇格の脆弱性
- Chaotic Eclipseが開示したレースコンディションのゼロデイ脆弱性で、完全にパッチ適用済みのWindows 10/11においてSYSTEM権限の取得が可能
- 同研究者によるキャンペーンで7件目のエクスプロイト。PoCはThreatLockerが検証済みで、対立が続く中もMicrosoftは修正を約束
Microsoftは、最近開示されたRoguePlanet脆弱性に固有の識別子を付与し、現在修正に取り組んでいることを明らかにしました。
「Microsoftは、Microsoft DefenderのMicrosoft Malware Protection Engineにおける権限昇格の脆弱性であり、公に『RoguePlanet』と呼ばれているものを認識しています」と同社は最近公開したセキュリティアドバイザリで述べています。
「この脆弱性に対処する高品質なセキュリティ更新プログラムの提供に向けて取り組んでいます。更新プログラムが利用可能になった際には、このCVEに情報を掲載します。」
Chaotic Eclipseの執念
Chaotic Eclipseという別名を持つセキュリティ研究者は最近、Microsoftが6月のパッチチューズデー累積更新プログラムをリリースしてからわずか数時間後に、完全にパッチが適用されたWindows 11デバイスにおけるゼロデイ脆弱性を開示しました。
Chaotic EclipseはMicrosoftに対して個人的な戦いを繰り広げており、同社が不誠実な態度をとり、脆弱性の開示を適切に処理していないと非難しています。RoguePlanetは、わずか数か月の間に同研究者が開示した7件目のゼロデイエクスプロイトです。この脆弱性は「レースコンディション脆弱性」と説明されており、完全にパッチが適用されたWindows 10およびWindows 11デバイスにおいて、攻撃者がSYSTEM権限を取得できてしまいます。
それ以前にも、BlueHammer、RedSun、GreenPlasma、MiniPlasma、YellowKey、UnDefendといった脆弱性を公開しています。その一部はMicrosoft Defenderに影響を与え、またBitLockerやその他のWindowsコンポーネントに影響するものもあります。
同研究者は、過去の成果物をホスティングしていたGitHubとGitLabの両リポジトリがMicrosoftによって削除されたと述べた後、自己ホスト型のGitにPoC(概念実証)エクスプロイトを公開しました。
「このエクスプロイトはレースコンディションのため、成功するかどうかは運次第です。一部のマシンでは100%の成功率を達成できましたが、別のマシンではうまく動作しませんでした」と同研究者は説明しています。セキュリティ研究者のThreatLockerは、この脆弱性が実際に機能することをメディアに対して確認し、その仕組みを示すビデオまで録画しました。
MicrosoftはRoguePlanetをCVE-2026-50656として追跡しています。同社はこれ以前、「顧客に実害をもたらす悪意ある行為」に及ぶ者に対して法的措置を検討すると述べていました。Chaotic Eclipseはこうした警告に動じる様子を見せておらず、一部の人々はこれを脅迫と受け取っています。
