4分で読めます
Microsoftは、同社に対して不満を募らせるセキュリティ研究者が公開した、またしても別のゼロデイ脆弱性への対応に追われました。
水曜日、MicrosoftはRoguePlanetと呼ばれる脆弱性に対し、緊急のアウトオブバンドパッチを公開しました。これはWindows Defenderにおける権限昇格の脆弱性で、CVE-2026-50656として追跡されています。この深刻度の高い欠陥は、Microsoftによって7.8のCVSSスコアが付与されており、攻撃者がWindowsデバイス上で一般ユーザーの権限から最高位のSYSTEMレベルのアクセス権にまで昇格させ、デバイスを完全に掌握できてしまう可能性があります。
RoguePlanetは当初、匿名のセキュリティ研究者「Nightmare-Eclipse」によって、概念実証(PoC)エクスプロイトとともに公開されました。この研究者はここ数カ月、Microsoftと公然と対立を続けています。この確執は4月、Nightmare-EclipseがMicrosoftのセキュリティレスポンスセンター(MSRC)への不満から、Windows Defenderの別の権限昇格の欠陥「BlueHammer」(CVE-2026-33825として追跡)のエクスプロイトを公開したことから始まりました。
この確執は数週間にわたってエスカレートし、Microsoftは対応措置として法的措置を示唆する警告を発する一方、Nightmare-Eclipseはさらなるゼロデイエクスプロイトの公開を続けました。その中のいくつかは、公開後まもなく実際の攻撃に悪用されています。この研究者は、Microsoftから侮辱を受けたとしてMicrosoftへの報復を誓い、7月14日に「骨をへし折ってやる」と脅迫していましたが、その後この日付については撤回しています。
RoguePlanetが企業にもたらすサイバーリスク
RoguePlanetに対するパッチは、Microsoft Malware Protection Engineバージョン1.1.26060.3008に含まれています。CVE-2026-50656に関するMicrosoftの勧告によれば、Microsoft Defenderを無効化しているWindowsシステムは「悪用可能な状態にはない」とされています。
しかしMicrosoftは、この脆弱性の攻撃複雑性は低く、悪用される可能性は「より高い」と指摘しています。
SOCRadarは木曜日に公開したブログ記事の中で、RoguePlanetは悪用前に脆弱なデバイスへのローカルアクセスを必要とし、侵害後の権限昇格エクスプロイトと表現するのが最も適切であるとしながらも、依然として危険であると指摘しています。
「RoguePlanet単体ではリモートから悪用することはできませんが、攻撃者が標準ユーザーとしてローカルでコード実行権を得た後には、非常に有用なツールとなり得ます」と、同研究チームはブログ記事の中で述べています。
SOCRadarによれば、第2段階のツールとして、RoguePlanetは脅威アクターにセキュリティ製品やテレメトリの改ざん、横方向移動のための認証情報の窃取、そしてスケジュールされたタスクなどの手法による永続化の確立といった能力を与える可能性があるといいます。
さらにSOCRadarは、Nightmare-EclipseとMicrosoftとの間で続く確執が「通常のパッチサイクルに先立つ複数のエクスプロイトの公開を招いており、未パッチ環境のリスクを高めている」と指摘しています。SOCRadarの最高情報セキュリティ責任者(CISO)であるEnsar Seker氏はDark Reading に対し、Microsoftがパッチチューズデー(7月分は14日)の直前に緊急アップデートを発行するのは異例だとしながらも、それはこの欠陥をめぐる緊急性の高まりによるものだろうと述べています。
「Nightmare-Eclipseはこれまでも、パッチチューズデー直後に詳細な技術分析と概念実証エクスプロイトを繰り返し公開しており、防御側が攻撃者による研究成果の武器化に備える時間を削っています」とSeker氏は語ります。「たとえMicrosoftがすでに修正パッチを準備していたとしても、エクスプロイトの詳細が広く公開されたことで、その公開が前倒しになった可能性が高いでしょう」
不透明なRoguePlanetの悪用状況
RoguePlanetの公開エクスプロイトが存在するにもかかわらず、この脆弱性が実際に悪用されているかどうかは明らかになっていません。Microsoftの更新された勧告では、この欠陥は悪用されていないと記載されており、CISAもCVE-2026-50656を既知の悪用された脆弱性(KEV)カタログに追加していません。一方Qualysは6月18日に公開した脅威レポートで、RoguePlanetは「攻撃で悪用されている」と述べていますが、詳細は明かされていません。
Seker氏は、悪用が確認されていないからといって、RoguePlanetが攻撃者によってまだ武器化されていないということにはならないと指摘します。
「Microsoft Defenderのようなエンドポイントセキュリティ製品は数百万台のシステムに導入されており、魅力的な標的となっていますが、悪用に成功しても公に可視化される情報は非常に限られていることが多いのです」と同氏は述べます。「セキュリティ制御を無効化・回避する能力を得た攻撃者には、沈黙を保つ強い動機があります。その手法を明らかにすれば、有効に使える期間が短くなってしまうからです」
CVE-2026-50656には攻撃者がローカルアクセスを持つ必要があるという前提条件があるにもかかわらず、Seker氏はRoguePlanetを優先度の高いリスクとして扱うべきだと述べています。なぜならNightmare-Eclipseには、攻撃者のツールセットに組み込まれるようなエクスプロイトを伴う「技術的に確かな研究成果」を公開してきた実績があるからです。
「多くの場合、防御側はセキュリティ製品の脆弱性が悪用されたことを、インシデント対応の調査や脅威インテリジェンスの報告を通じて、何カ月も後になって初めて知ることになります」と同氏は語ります。
SOCRadarは組織に対し、Microsoft Malware Protection Engineのアップデートを確実に適用すること、エンドポイントにおけるローカル実行制御を強化すること、そして権限昇格活動の兆候を監視することを強く求めています。こうした兆候には、ユーザーコンテキストのプロセスによるSYSTEMレベルシェルの生成、Windows Defenderのサービスや構成の変更、新規サービス・スケジュールタスク・自動実行項目の作成などが含まれます。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/microsoft-rogueplanet-zero-day-threat