Microsoft Windows Defenderを狙った新たに流出したゼロデイ脆弱性が現在、野生で活発に悪用されており、脅威ハンターのHuntress SOCによると、進化する攻撃者の手法に対するエンドポイントセキュリティの耐性に新たな懸念が生じています。
セキュリティ研究者らは、攻撃者が「Nightmare-Eclipse」と総称される一連の悪用方法を活用していると報告しており、これにはBlueHammer、RedSun、UnDefendなどのツールや技術が含まれています。
これらの方法は公開されている概念実証(PoC)コードリポジトリから発生しているようで、露出後の迅速な武器化を示しています。
Huntressアナリストは、低権限ユーザーディレクトリにステージングされた疑わしいバイナリを含む複数の実際の攻撃試行を観察しました。
確認されたあるインシデントでは、悪意のあるファイルがユーザーのPicturesフォルダ内に配置され、他のサンプルはDownloadsフォルダ内の2文字のサブディレクトリに表示されました。
バイナリは「FunnyApp.exe」や「RedSun.exe」を含む元のPoC リリースと一貫した命名規則を保持していましたが、一部は「z.exe」などの汎用ファイル名で難読化されていました。
2026年4月10日、BlueHammer関連のペイロードが以下のパスから実行されました:
Microsoft Defenderは脅威を正常に検出・隔離し、「Exploit:Win32/DfndrPEBluHmrBZ」として特定しました。
この検出は、脆弱性が悪用されている一方で、特定の署名と行動パターンが既にDefenderによって追跡されていることを示唆しています。
しかし、4月16日の2番目のインシデントは、攻撃者の継続的な実験を示しました。「RedSun.exe」という名前のバイナリがDownloadsディレクトリから実行され、EICARテストファイルに関連するDefenderアラートがトリガーされました。
研究者は、これは攻撃者がアンチウイルスの応答をプローブし、フルペイロードをすぐにデプロイせずにエクスプロイト実行パスを検証するために使用する意図的な戦術であると指摘しています。
特に、両方のインシデントは、一般的に対話的なキーボード侵入活動に関連する一連の偵察コマンドに先行されていました。
これらのコマンドは、攻撃者が悪用技術をデプロイする前に、ユーザー権限、認証情報ストレージ、およびグループメンバーシップを積極的に列挙していたことを示しています。
低権限ディレクトリと公開されている既知のファイル名の使用は、脅威アクターが隠蔽と単純さを優先し、悪意のある活動を通常のユーザー行動と混ぜて検出を回避していることを示唆しています。
Dani L.、Tanner Filip、John Hammondを含むHuntress研究者は、この脆弱性の範囲と影響を引き続き調査しています。
初期調査結果は、エクスプロイトチェーンが特定の条件下でDefender内のセキュリティ機能のバイパスを可能にする可能性があることを示唆していますが、完全な技術詳細はまだ公開されていません。
組織は、特にユーザーディレクトリからの実行を密に監視し、疑わしい列挙コマンドについてログをレビューすることをお勧めします。
Defender署名を最新に保つことと、高度な行動検出機能を有効にすることは、脆弱性が積極的に調査されている間、リスクを軽減するのに役立つ可能性があります。
翻訳元: https://cyberpress.org/leaked-windows-defender-0-day-vulnerability/
