Microsoftは、Defenderの脆弱性「RoguePlanet」に対するパッチの展開を開始しました。ある研究者がこの脆弱性を突くゼロデイエクスプロイトを公表してからおよそ1カ月後の対応となります。
正式にはCVE-2026-50656として追跡されているこの脆弱性は、レースコンディション(競合状態)を悪用するもので、攻撃者がSystem権限まで昇格できてしまいます。
RoguePlanetのPoCエクスプロイトは、Nightmare Eclipse(Chaotic Eclipse)というハンドル名の研究者によって6月9日に公開されました。この研究者は、脆弱性報告への対応をめぐりMicrosoftと確執があり、ここ数カ月にわたって複数のWindows向けエクスプロイトを公開してきました。
この研究者は当時、テスト時点でこのエクスプロイトの成功率は100%には達していなかったものの、より安定するよう再設計できる可能性があると指摘していました。
Microsoftは6月16日にこの脆弱性に関するアドバイザリを公開し、7月8日にはパッチが利用可能になったことを顧客に伝えるため内容を更新しました。
同社によると、修正はMicrosoft Malware Protection Engineの更新を通じて配信され、自動的に適用されるはずのため、顧客側で対応を取る必要はないとのことです。
さらに同社は、RoguePlanetを修正するこの更新には、「セキュリティ関連機能の向上に役立つ、詳細は非公開の多層防御(defense-in-depth)アップデート」も含まれているとしています。
MicrosoftによるRoguePlanetのパッチ適用を受け、Nightmare Eclipseは改めてDefenderを分析し、メモリリークや検疫済みファイルの扱いに関する新たな問題を発見しました。この研究者は現在、これらの発見が悪用可能かどうかを見極めようとしています。
RoguePlanetが実際に悪用されたとする報告は今のところ見当たりませんが、Nightmare Eclipseがこれまでに公表した脆弱性の中には、実際に悪用されたものも存在します。RedSun(CVE-2026-41091)、UnDefend(CVE-2026-45498)、BlueHammer(CVE-2026-33825)と名付けられた脆弱性がこれに該当します。
翻訳元: https://www.securityweek.com/microsoft-patches-defender-rogueplanet-vulnerability/