Windows上での完全なシステム支配を獲得する新しい手法が浮上しており、注目すべきことに、複雑なカーネル脆弱性を避けて、統合アンチウイルススイートの不規則な動作を悪用しています。
アンチウイルス&マルウェア
Chaotic Eclipseというペンネームで活動する研究者が、RedSunと名付けられたMicrosoft Defenderを対象とした機能するゼロデイエクスプロイトを公開している。これは著者が過去2週間にこのようなツールを発表したのは2度目であり、Microsoftとの明らかな紛争を示唆しています。
この脆弱性はローカルな権限昇格を促進し、攻撃者がSYSTEM権限(Windows環境における認可の最高位)に昇格することを可能にします。このエクスプロイトはWindows 10、Windows 11、Windows Serverで動作し、4月のアップデートによって強化されたシステムにもMicrosoft Defenderがアクティブである限り存続します。
問題の核心は、「クラウドタグ」でマークされたファイルのアンチウイルスによる処理にあります。特定の条件下では、Defenderは検出されたファイルを元のディレクトリで自動的に上書きします。このメカニズムを操作することで、エクスプロイトは管理上の主権を確保するために重要なシステムファイルに置き換えられます。
この攻撃の有効性は、脆弱性分析者のWill Dormannによって検証されており、Windows Server 2019およびその後の版を含む、完全に修復されたシステムでエクスプロイトが正常に実行されることを確認しています。
この攻撃の建築論理は非常に高度です。クラウドファイルインターフェースを活用し、EICARテスト文字列をファイルに組み込み、その後ボリュームシャドウコピーサービスに関わるレース条件を調整します。パス操作を通じて、ファイルはsystem32ディレクトリにリダイレクトされ、TieringEngineServiceの実行可能ファイルを上書きします。結果として、オペレーティングシステムは無意識にSYSTEMレベルの権限でマルウェアペイロードを実行し、攻撃者に絶対的な制御を与えられます。
一部のセキュリティ製品は現在、EICAR文字列の含有により、エクスプロイトを識別していますが、著者はそのファイル内の文字列を暗号化することで簡単に検出を回避しました。脆弱性の包括的な技術的分析は、Kevlarとして知られる専門家によって公開されています。
コンピュータサーバー
1週間前、Chaotic EclipseはMicrosoft Defenderの別のエクスプロイトをBlueHammerと特定して公開しました。その脆弱性はその後CVE-2026-33825と指定され、4月の「パッチチューズデー」サイクル中にMicrosoftによって修復されました。
著者は、両方のエクスプロイトの公開は、Microsoft Security Response Center(MSRC)との険悪な関係の直接的な結果であると主張しています。彼は、同社との相互作用が深刻な個人的不満をもたらし、この型にはまらない形式のプロテストを促したと述べています。Microsoftは抑制された態度で応じており、すべての脆弱性レポートを厳密に調査し、迅速な修復を優先し、業界標準の調整公開を提唱していると述べています。
翻訳元: https://meterpreter.org/the-redsun-zero-day-that-turns-microsoft-defender-into-a-malware-installer/
