「Chaotic Eclipse」として知られる研究者は、過去2週間でMicrosoft Defenderの2番目のゼロデイに対するプルーフオブコンセプト悪用を公開しました。これは「RedSun」と呼ばれており、同社がサイバーセキュリティ研究者とどのように協力するかに抗議しています。
この悪用は、Windows Defenderが有効な場合、最新の4月Patch TuesdayパッチでWindows 10、Windows 11、およびWindows Serverに対してSYSTEM権限を付与するローカル権限昇格(LPE)の欠陥に対するものです。
「Windows Defenderが悪意のあるファイルにクラウドタグがあることに気付くと、何らかの馬鹿げたおかしな理由で、保護されるはずのアンチウイルスが、見つけたファイルを元の場所に単に上書きすることが良い考えだと判断します」と、研究者は説明しています。
「PoCはこの動作を悪用してシステムファイルを上書きし、管理者権限を取得します。」
Tharrosの主要な脆弱性アナリストであるWill Dormannは、新しいMicrosoft Defender RedSunゼロデイの悪用がうまく機能し、完全にパッチが適用されたWindows 10、Windows 11、およびWindows Server 2019以降にSYSTEM権限を付与することをBleepingComputerに確認しました。
「この悪用は「Cloud Files API」を使用し、それを使用してEICARをファイルに書き込み、oплockを使用してボリュームシャドウコピーレースに勝ち、ディレクトリジャンクション/再解析ポイントを使用してファイルの上書き(新しい内容)をC:\Windows\system32\TieringEngineService.exeにリダイレクトします」と、DormannはMastodonのスレッドに書きました。
「この時点で、クラウドファイルインフラストラクチャは、攻撃者が配置したTieringEngineService.exe(RedSun.exeの悪用そのもの)をSYSTEMとして実行します。ゲーム終了。」
Dormannは、VirusTotal上の一部のアンチウイルスベンダーが、悪用可能ファイルに埋め込まれたEICARが含まれているため、悪用を検出していると述べています[VirusTotal]。ただし、彼は実行可能ファイル内のEICARの文字列を暗号化することで検出を減らしました[VirusTotal]。
先週、「Chaotic Eclipse」として知られるこの研究者は、別のMicrosoft Defender LPEゼロデイに対する悪用をリリースしました。これは「BlueHammer」というニックネームで、現在CVE-2026-33825として追跡されています。Microsoftは今月のPatch Tuesdayセキュリティアップデートの一部としてこの欠陥を修正しました。
研究者は、Microsoft Security Response Center(MSRC)に脆弱性を開示するサイバーセキュリティ研究者とMicrosoftがどのように協力するかに抗議するため、両方のゼロデイPoCを公開したと述べています。
「通常、私はバグを修正するよう懇願するプロセスを進めていきますが、要約すると、彼らは彼ら自身が私の人生を台無しにすると個人的に告げられ、彼らはそうしました。私がこのひどい経験の唯一人であるかどうか確かではありません。何人かがそうしたのかもしれませんが、ほとんどの人はそれを食べて損失を減らすと思いますが、私にとっては、彼らは私のすべてを奪いました」と、研究者は主張しています。
「彼らは私をやっつけ、あらゆる子供じみたゲームを引っ張りました。ある時点では、私は巨大な企業を相手にしているのか、それとも私の苦しみを見て楽しんでいるだけの誰かを相手にしているのか疑問に思っていました。しかし、それは集団的な決定のようです。」
BleepingComputerは、MSRCとの相互作用に関する詳細について研究者に連絡しました。
これらの疑われる問題についてMicrosoftに連絡する際、彼らは以下の声明を共有しました。
「Microsoftは報告されたセキュリティ問題を調査し、顧客を可能な限り迅速に保護するために影響を受けたデバイスを更新する顧客コミットメントを持っています」とMicrosoftのスポークスマンはBleepingComputerに語りました。
「また、公開前に問題を慎重に調査・対処することを確保するのに役立つ、広く採用されている業界慣行である調整された脆弱性開示もサポートしています。これにより、顧客保護とセキュリティ研究コミュニティの両方をサポートしています。」
