マイクロソフトは、Microsoft Malware Protection Engine向けのセキュリティ更新プログラムをようやくリリースし、RoguePlanetのエクスプロイトによって悪用されるWindows Defenderのローカル権限昇格脆弱性CVE-2026-50656を修正しました。
脆弱性と修正内容
CVE-2026-50656は、ファイルアクセス前のリンク解決が適切に行われていないことに起因する脆弱性で、Windows 10およびWindows 11に影響します。認証済みの攻撃者が複雑度の低い攻撃を仕掛けることで、脆弱なマシン上でSYSTEM権限を取得できる可能性があります。
この脆弱性の存在は、6月10日にマイクロソフトが月例のPatch Tuesdayをリリースした数時間後、「Nightmare Eclipse」を名乗る身元不明のセキュリティ研究者によって公表されました。
Nightmare EclipseはRoguePlanetの概念実証(PoC)エクスプロイトを公開し、他のセキュリティ研究者らによって検証された結果、実際に機能することが確認されました。
マイクロソフトがこの脆弱性の存在を認めるまでに2週間、修正版のリリースまでには合計1ヶ月を要しました。マイクロソフトのアドバイザリによれば、CVE-2026-50656は現時点で積極的な悪用は確認されていないものの、同社は今後悪用される可能性が高いと評価しています。
「マイクロソフトは通常、新たな脅威から保護するため、Microsoft Malware Protection Engineの更新を月に一度、あるいは必要に応じて随時リリースしています」とマイクロソフトは説明しています。
「企業導入・エンドユーザーのいずれにおいても、マイクロソフトのアンチマルウェアソフトウェアの既定の設定により、マルウェア定義とMicrosoft Malware Protection Engineは自動的に最新の状態に保たれます」
この既定の設定を維持しているユーザーおよび管理者は、修正済みのMicrosoft Malware Protection Engineのバージョン(1.1.26060.3008)がインストールされているかどうかを確認できます。設定を変更している場合は、手動で更新を実行する必要があります。
マイクロソフトとの確執が続く
Nightmare Eclipseは2026年3月以降、Windowsオペレーティングシステムに影響を及ぼす未公表の脆弱性について概念実証(PoC)エクスプロイトを次々と公開しており、BlueHammer、RedSun、YellowKey、GreenPlasma、UnDefend(このほかにも複数)といった個性的な名前を付けています。
これらのエクスプロイトの一部は、すでに攻撃者によって実際の攻撃で悪用されています。
この研究者は、マイクロソフトが自身の脆弱性報告を不適切に扱い、内容を軽視した挙げ句、報告に使用していたマイクロソフトアカウントを削除したため、PoCエクスプロイトを公開するようになったと主張しています。
マイクロソフトはこれまで、公表されたいずれの脆弱性についても、Nightmare Eclipseの功績を認めていません。