脅威アクターは、最近公開されたWindows セキュリティの3つの脆弱性を悪用し、SYSTEMまたは管理者権限を得ることを目的とした攻撃を実行しています。
月初から、「Chaotic Eclipse」または「Nightmare-Eclipse」として知られるセキュリティ研究者は、Microsoftのセキュリティレスポンスセンター(MSRC)が開示プロセスをどのように処理したかに対する抗議として、3つのセキュリティ問題すべてに対する概念実証エクスプロイトコードを公開しています。
2つの脆弱性(BlueHammerおよびRedSunと呼ばれる)はMicrosoft Defenderのローカル権限昇格(LPE)脆弱性であり、3番目の脆弱性(UnDefendとして知られる)は、標準ユーザーとして悪用されてMicrosoft Defenderの定義更新をブロックできます。
漏洩の時点で、これらのエクスプロイトが対象とするセキュリティ欠陥は、公式なパッチまたはアップデートがなかったため、Microsoftの定義によるゼロデイと見なされていました。
木曜日、Huntress Labsのセキュリティ研究者は、3つすべてのゼロデイエクスプロイトが実際に配備されているのを報告し、BlueHammer脆弱性は4月10日から悪用されています。
彼らは、侵害されたSSLVPNユーザーを使用して侵害されたWindowsデバイス上で、UnDefendおよびRedSunエクスプロイトを検出し、「ハンズオン・キーボード脅威アクター活動」の証拠を示す攻撃が行われています。
「Huntress SOCは、Nightmare-EclipseのBlueHammer、RedSun、UnDefend悪用技術の使用を観察しています」と研究者は述べました。
パッチを待つ2つのゼロデイ
Microsoftは現在、BlueHammer脆弱性をCVE-2026-33825として追跡し、2026年4月のセキュリティアップデートで修正していますが、他の2つの欠陥は対処されていないままです。
BleepingComputerが以前に報告したように、攻撃者はRedSunエクスプロイトを使用して、Windows Defenderが有効になっているときにWindows 10、Windows 11、およびWindows Server 2019以降のシステム上でSYSTEM権限を取得でき、4月のPatch Tuesdayパッチを適用した後もそうです。
「Windows Defenderが悪意のあるファイルにクラウドタグがあることに気付くと、理由は不明ですが、保護することになっているアンチウイルスが、見つかったファイルを元の場所に単に上書きするのは良い考えだと判断しています」と研究者は説明しました。「PoCはこの動作を悪用してシステムファイルを上書きし、管理者権限を取得します。」
「Microsoftは、報告されたセキュリティ問題を調査し、影響を受けたデバイスを更新して、できるだけ早く顧客を保護する顧客コミットメントを持っています」と、Microsoftのスポークスパーソンは、匿名の研究者によって報告された開示の問題についてさらに詳しい情報を求めてBleepingComputerに先週述べました。
「私たちは、調整された脆弱性開示もサポートしています。これは、問題が公開開示の前に慎重に調査および対処されることを確認するのに役立つ、広く採用されている業界慣行であり、顧客保護とセキュリティ研究コミュニティの両方をサポートしています。」
