今月初めにMicrosoft Defenderのゼロデイ権限昇格脆弱性を悪用するプルーフオブコンセプト(PoC)エクスプロイトを公開したセキュリティ研究者が、さらに2つのエクスプロイトをもって戻ってきた。
最初は「RedSun」と呼ばれ、同じプラットフォームの別の権限昇格脆弱性である。2番目の「UnDefend」は、標準ユーザーがMicrosoft Defenderがシグネチャ更新を受け取るのをブロックしたり、完全に無効化したりすることを許可する(Microsoftが大規模なDefender更新をプッシュした場合)。
そして、Huntress研究者によると、3つのすべての悪用技術は、少なくとも1つの脅威アクターによってワイルドで活用されている。
新しいエクスプロイト
Chaotic EclipseとNightmare Eclipseという名前で知られている研究者は、4月3日にBlueHammer PoCを公開した。その前に、Microsoft Security Response Centerへの開示試行がうまくいかなかったと主張している。
4月14日、Microsoftは脆弱性を修正するセキュリティ更新をリリースした。この脆弱性にはCVE-2026-33825識別子が付与された。報告したとされている研究者 – Zen DoddとYuanpei Xu – は「Nightmare Eclipse」ではない。
4月16日、現在匿名の研究者は「RedSun」と「UnDefend」PoCエクスプロイトを同じGitHubリポジトリに公開した。このリポジトリは、Microsoftが所有するプラットフォームからの警告にもかかわらずアクセス可能なままである:
RedSun PoCの有効性は、脆弱性アナリストWill Dormannによって確認されている。
ワイルドでの攻撃
Huntress研究者は、4月10日にWindows DefenderによってブロックされているBlueHammerエクスプロイトを観察したと述べている。4月16日には、「RedSun」と「UnDefend」PoCが使用されているのも観察している。
攻撃者は、エクスプロイトファイルをユーザーのPicturesフォルダとDownloadsフォルダに入れ、疑いを避けるために名前を変更した。その後、エクスプロイトを実行する前に、ユーザー権限をマップするコマンドを実行し、保存された認証情報とActive Directory構造を発見した。
「Huntressは、さらなる悪用後の活動を防ぐために、影響を受けた組織を隔離した」と研究者は追加した。
ボールは現在Microsoftの手中にある:次のパッチチューズデイまで数週間あるため、帯域外の緊急パッチが前進する最も可能性の高い方法に見える。
翻訳元: https://www.helpnetsecurity.com/2026/04/17/microsoft-defender-zero-days-exploited/
