パッチ公開からわずか数日でMicrosoft Defender権限昇格の脆弱性が新たに発見

4月のPatch TuesdayでMicrosoftがWindows Defenderアンチウイルスツールに影響する高重度の脆弱性をパッチした数日後、研究者らはローカルエスカレーションを通じてSYSTEM権限を有効にする可能性のある別の脆弱性について警告しています。

「RedSun」と名付けられた新たに公開された概念実証（PoC）エクスプロイトで、「Nightmare Eclipse」というハンドル名のGitHubユーザーが、特定のクラウドタグ付きファイルに対するMicrosoft Defenderの処理方法がどのように悪用され、保護されたシステムファイルを上書きして権限昇格させることができるかを実証しました。

「Windows Defenderが悪意のあるファイルがクラウドタグを持っていることに気づくと、何らかの愚かでばかげた理由で、保護するはずのアンチウイルスが発見したファイルを単に元の場所に上書きするのは良いアイデアだと判断します」と、EclipseはPoC リポジトリの説明に書いています。

このPoC エクスプロイトは、Microsoft Defenderを実行しているWindows 10およびWindows 11システムに影響を与えます。特にクラウドファイル機能が有効になっているビルドが対象です。

アンチウイルスが脅威を上書き

RedSun PoCは直感に反する動作を強調しています。Defenderの修復プロセスは、特定の条件下でフラグが付けられたファイルを復元する可能性があります。具体的には、クラウドメタデータでタグ付けされたファイル（OneDriveや同様のサービスで使用されるファイルなど）は、アンチウイルスエンジン内の異なる処理パスをトリガーします。

悪意のあるファイルを永続的に削除するのではなく、Defenderはそれを元のソースに復元しようとし、ファイルをディスクに上書きします。PoCはこのメカニズムを悪用して、上書きプロセス中にファイルの内容または宛先を操作します。

攻撃者が上書きのタイミングと場所を制御できる場合、正当なシステムバイナリまたは設定ファイルを悪意のあるペイロードに置き換えることができます。RedSunはこのエクスプロイトを実証してSYSTEMレベルの権限を取得しました。

Infosec ExchangeのWill Dormannは、Cloud Files APIを使用してPoCを検証しました。「Windows Defenderが有効になっている限り、2026年4月のアップデート付きのWindows 11およびWindows Server 2019+、ならびにWindows 10に対して、権限のないユーザーからSYSTEMへの移行は約100%確実に機能します」と彼は述べました。「cldapi.dllを持つシステムは影響を受ける可能性があります。」

Dormannはレプリケーション設定されたファイルを導入するためにCloud Files APIを使用し、その後「oplock」を使用してファイルアクセスのタイミングを制御しました。そこから、エクスプロイトはVolume Shadow Copyレース条件とディレクトリジャンクション/解析ポイントを活用して、Defenderがファイルを書き込む場所をリダイレクトします。

数日でDefenderベースの2番目のLPE

Patch Tuesdayの一部として今週初めに対処されたDefenderの脆弱性は、Microsoftが修正した2つのゼロデイバグの1つであり、「アクセス制御の粒度不足」から生じるローカル権限昇格も可能にしました。

MicrosoftはCVE-2026-33825として追跡されている脆弱性の発見をセキュリティ研究者のZen Doddに帰したにもかかわらず、この欠陥は修正される前からPoC エクスプロイト「BlueHammer」が利用可能でした。それは他の出版プラットフォームでNightmare Eclipseが使用するエイリアス「Chaotic Eclipse」から来ました。この脆弱性は10点中7.8の高重度評価を受けました。