CISAは月曜日、ランサムウェア集団がMicrosoft Defenderの高深刻度の権限昇格脆弱性を悪用し始めたことを確認しました。この脆弱性は以前からゼロデイ攻撃での悪用が確認されていたものです。
「BlueHammer」と名付けられたこのセキュリティ脆弱性(CVE-2026-33825)は、4月初旬に「Nightmare Eclipse」として知られるセキュリティ研究者によって、概念実証(PoC)のエクスプロイトコードとともに公開されました。これはMicrosoft Security Response Center(MSRC)の脆弱性開示プロセスへの抗議として行われたものです。
Microsoftはセキュリティアドバイザリの中で、「Microsoft Defenderにおけるアクセス制御の粒度の不足により、認証済みの攻撃者がローカルで権限を昇格できる」と説明しています。
TharrosのプリンシパルVulnerabilityアナリストであるWill Dormann氏は4月、BleepingComputerに対し、「この脆弱性の悪用は容易ではないものの、ローカルの攻撃者がローカルアカウントのパスワードハッシュを格納したSecurity Account Manager(SAM)データベースへのアクセスを取得できる」と述べています。
このアクセスを利用することで、攻撃者はSYSTEM権限への昇格を行い、対象システムを完全に制御できる可能性があります。
「その状態になれば、攻撃者はシステムを事実上支配下に置き、SYSTEM権限のシェルを起動するなど、あらゆる操作が可能になります」とDormann氏は述べています。

Microsoftは4月14日の2026年4月のPatch Tuesdayにてこの脆弱性にパッチを適用しました。しかしその数日後、Huntress Labsのセキュリティ研究者が、「脅威アクターによる直接的なキーボード操作の痕跡」が認められる攻撃において、この脆弱性がゼロデイとして悪用されていたことを明らかにしました。
過去数カ月にわたり、Nightmare Eclipseは他にも複数のWindowsゼロデイエクスプロイトを公開しており、RoguePlanet、RedSun、GreenPlasma、MiniPlasma、YellowKey、UnDefendなどの脆弱性が含まれています。
これらの脆弱性の一部はMicrosoft Defenderに影響を与えるものであり、残りはBitLockerおよびWindowsコンポーネントを標的としています。
MicrosoftはGreenPlasma、MiniPlasma、YellowKeyの各脆弱性を3週間前の2026年6月のPatch Tuesdayアップデートにて修正しています。
ランサムウェア集団による悪用を認定
CISAは4月22日にBlueHammer脆弱性を既知悪用脆弱性(KEV)カタログに追加し、連邦政府行政機関(FCEB)に対して、進行中のCVE-2026-33825攻撃への対策として2週間以内の5月7日までにWindowsデバイスへのパッチ適用を命じました。
「この種の脆弱性は悪意あるサイバー攻撃者による頻繁な攻撃経路となっており、連邦政府のシステム全体に重大なリスクをもたらしています」と、米サイバーセキュリティ機関は当時警告していました。
Microsoftはこの脆弱性に対する攻撃での悪用をいまだ公式に認定していませんが、CISAは月曜日のKEVカタログ更新において、ランサムウェアキャンペーンでの悪用も確認済みとして追記しました。
近年、CISAはこれまでに8件のMicrosoft Defender脆弱性を攻撃での悪用が確認されたものとして認定しており、そのうち2件はランサムウェア集団からも標的にされています。
攻撃者より先に、すべての防御層をテストしましょう
セキュリティチームは成功した攻撃の54%しかログに記録できておらず、アラートを発するのはわずか14%に過ぎません。残りの攻撃は検知されることなく環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMやEDRのルールをテストし、脅威の検知漏れを防ぐ方法を解説しています。