Microsoftは、Windows Defenderに新たに発見された欠陥のパッチ適用に向けて急ピッチで取り組んでいます。この脆弱性が悪用されると、攻撃者は影響を受けたマシンをほぼ完全に掌握できる可能性があります。研究者はこれを「RoguePlanet」と命名し、識別子はCVE-2026-50656が割り当てられています。
ローカル権限昇格の高深刻度バグ
この脆弱性のCVSS 3.1スコアは7.8であり、深刻度「高」の範囲に位置します。ベクター文字列はAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:Hです。平たく言えば、低権限を持つローカル認証済みの攻撃者が、ユーザーの操作なしにこの脆弱性を引き起こせます。影響は機密性・完全性・可用性の3つに及びます。
RoguePlanetは、Windows DefenderのコアスキャンコンポーネントであるMicrosoft Malware Protection Engine内に存在します。このエンジンは設計上SYSTEMレベルの権限で動作するため、悪用に成功した場合、攻撃者は同等のアクセスレベルを取得できます。そこから攻撃者は、実質的にOSそのものとして振る舞うことが可能になります。
Microsoftはこの問題を公式に認めました。同社は脆弱性を把握しており、高品質なセキュリティアップデートのリリースに向けて取り組んでいると述べています。本稿執筆時点では、パッチのリリース時期についてMicrosoftは明確なスケジュールを示していません。
悪用のメカニズム
この欠陥は、ファイルアクセス前の不適切なリンク解決に関連するレースコンディションに起因しており、CWE-59として正式に分類されるパターンです。実際には、通常のセキュリティ操作中にスキャンエンジンがファイルシステムのリンクを誤って追跡するよう誘導される可能性があります。これにより攻撃者は、特権を持つ処理を意図しない対象へリダイレクトすることができます。
RoguePlanetを開示したセキュリティ研究者Chaotic Eclipse(別名Nightmare-Eclipse)は、MicrosoftがCVEを割り当てる約1週間前にこの脆弱性を公開しました。研究者によれば、悪用に成功するとSYSTEM権限で動作するコマンドシェルが生成されます。このアクセスレベルにより、攻撃者は制限されたローカルユーザーとしてではなく、システムそのものとして動作できるようになります。
研究者はまた、悪用の成功率がマシンによって異なることも指摘しています。一部のシステムではPoC(概念実証コード)が100%の成功率を達成する一方、他のシステムでは顕著に性能が低下します。根本にあるレースコンディションは、ハードウェアや設定によって変動するタイミングに依存しているためです。
Nightmare-Eclipseはその後の声明で、さらなる詳細を明らかにしました。PoCはDefenderのリアルタイム保護が有効か無効かに関わらず機能するとされています。また、Defenderのパッシブスキャンモードでも悪用が成立する可能性があるとしましたが、その点については自身では検証していないと述べています。
相次ぐ脆弱性開示の一環
RoguePlanetは孤立した公開事例ではありません。Nightmare-Eclipseは2026年3月以降、Microsoftのゼロデイ攻撃コードを連続して公開しています。これには、Windows権限昇格の欠陥であるBlueHammerとRedSun、DefenderのサービスDoSバグであるUnDefend、BitLockerバイパスの問題YellowKey、そしてWindows Collaborative Translation Frameworkコンポーネントの権限昇格欠陥GreenPlasmaが含まれます。
こうした連続した公開は、研究者とMicrosoftの間で続く脆弱性開示とバグバウンティプログラムをめぐる対立に起因しているとみられます。5月下旬、MicrosoftのSecurity Response Center(MSRC)はNightmare-Eclipseによる一連の開示に言及するブログ投稿を公開しました。その中で同社は、Digital Crimes Unit(デジタル犯罪対策ユニット)がいわゆる「犯罪行為」を助長する当事者を追及すると警告しました。この表現はセキュリティ研究コミュニティの一部から批判を受け、正当な研究活動への潜在的な脅しと受け取られました。Microsoftはその後、セキュリティ研究を実施・公開する個人を追及する意図はないと説明しています。
MicrosoftはRoguePlanetの開示においてNightmare-Eclipseをクレジットに記載しておらず、これは協調的な脆弱性開示を公開ゼロデイリリースより優先するという同社の一般方針と一致しています。
現時点のリスク評価
Microsoftの公式アドバイザリによれば、現時点でRoguePlanetが実際の攻撃に悪用された証拠は確認されていません。それでも同社は、機能する実証コードが公開されていることを踏まえ、Exploitability Index上でこの脆弱性を「悪用される可能性が高い(Exploitation More Likely)」と評価しています。
パッチが提供されるまでの間、各組織はDefenderエンジンの異常な動作を調査対象として注視すべきです。具体的には、予期しないクラッシュや、重要なパス上での不審なリンク・ファイルアクセスの活動が挙げられます。この悪用はリアルタイム保護の設定に関わらず成功するとされているため、その機能を切り替えるだけでは十分な保護手段にはなりません。最も確実な対策は、Microsoftの公式パッチが提供され次第、速やかに適用することです。
翻訳元: https://meterpreter.org/rogueplanet-cve-2026-50656/
