- 研究者「Chaotic Eclipse」が新しいMicrosoft Defenderゼロデイ「RedSun」を公開
- 欠陥はDefenderのファイル上書き動作を悪用することでSYSTEM権限への局所権限昇格を可能にする
- BlueHammerリリースの数日後に発表;Microsoftは調査中であり責任ある情報開示をサポートしていると表明
最近Windowsのゼロデイ脆弱性を公開した同じ不満を持つ研究者が今回も実行し、今回はオペレーティングシステムのネイティブアンチウイルスソリューションであるMicrosoft Defenderをターゲットにしました。
「Chaotic Eclipse」というエイリアスを持つ研究者は、「RedSun」と名付けた脆弱性に関する概念実証(PoC)エクスプロイトを投稿しました。これは局所権限昇格の欠陥で、Windows Defenderが有効になっている最新バージョンのWindows 10、Windows 11、およびWindows Serverで、悪意のある行為者にSYSTEM権限を付与することを可能にします。
「Windows Defenderが悪意のあるファイルにクラウドタグがあることに気付くと、理由はどうあればかばかしくておかしなことに、保護すべきはずのアンチウイルスが見つけたファイルを元の場所に単に上書きするのが良い考えだと判断するのです」とChaotic Eclipseは書きました。「このPoCはこの動作を悪用してシステムファイルを上書きし、管理者権限を取得します。」
記事は以下に続く
「ひどい経験」
ソース: techradar.com
