エクスプロイトがWindows Defenderを攻撃者ツールに変える

出典：aileenchik via Shutterstock

脅威アクターは3つの公開されているPoC（概念実証）エクスプロイトを使用してMicrosoft Defenderを攻撃し、セキュリティプラットフォームの主要なクリーンアップおよび保護機能を、保護するために設計された組織に対して使用しています。

2つのエクスプロイトは脆弱なシステムでのSYSTEMレベルアクセスを可能にします。3つ目は静かにDefenderの更新メカニズムを破壊し、新しい脅威を検出する能力を段階的に低下させます。

3つのエクスプロイト

Nightmare-Eclipseというモニカーを使用する研究者は、まずMicrosoftに報告しようとしたが適切な対応が得られなかった後、PoC を公開しました。

BlueHammerと呼ばれるエクスプロイトの1つは、Windows Defenderの署名更新ワークフロー内の時間チェック・使用時間（TOCTOU）脆弱性であるCVE-2026-33825に対してゼロデイとして使用されました。セキュリティベンダーのVectra.aiが説明したように、「Defenderが疑わしいファイルを検出し、それを書き直すことを決定し、攻撃者がその書き直しを自分たちが選択した場所にリダイレクトするレース条件に勝ちます」とのことです。セキュリティベンダーによると、攻撃者はカーネルエクスプロイトやメモリ破損なしに、修復中にDefenderがファイルシステムと相互作用する方法の悪用を通じてのみSYSTEMレベルアクセスを得ることができます。

Microsoftは4月のセキュリティ更新でこの脆弱性に対するパッチを発行しました。そのパッチはBlueHammerからの脅威を緩和しますが、Nightmare-Eclipseが公開した他の2つのPoC エクスプロイト（RedSunおよびUnDefend）からは保護されません。

声明の中で、MicrosoftのスポークスウーマンはRedSunおよびUnDefendをBlueHammerとは別の問題として特定しました。「Microsoftは報告されたセキュリティ問題を調査し、影響を受けたデバイスを更新して顧客をできるだけ早く保護するという顧客へのコミットメントを持っています」と声明は述べています。「また、公開前に問題が慎重に調査および対処されることを確保するのに役立つ、広く採用されている業界慣行である調整された脆弱性の開示をサポートし、顧客保護とセキュリティ研究コミュニティの両方をサポートしています。」

Defenderをそのユーザーに対して使う

RedSunはBlueHammerと同様に機能しますが、検出されたファイルと脅威を分類および優先順位付けするDefenderバックグラウンドプロセスであるTieringEngineService.exeを対象とします。Vectra.aiによると、脆弱性をトリガーするために攻撃者がする必要があるのは、多くのセキュリティチームがアンチウイルスツールが脅威を適切に検出しているかどうかを安全に確認するために使用する埋め込まれたEICARテスト文字列を使用することだけです。Defenderがテスト文字列を検出すると、「修復サイクルを開始し、RedSunは結果のファイル書き直しをリダイレクトするレースに勝ちます。その時点で、Cloud Files Infrastructureは攻撃者が植えたバイナリをSYSTEMとして実行します」とVectraは述べています。

RedSunは完全にパッチが適用されたWindows 10、Windows 11、Windows Server 2019、およびPatch Tuesday更新を実行しているものを含むそれ以降のシステムに対して機能します。

一方、UnDefendは、BlueHammerまたはRedSunのいずれかを介してSYSTEMアクセスを取得した後に攻撃者が配置できるエクスプロイトです。「Explorerの下でcmd.exeの子として生成し、-aggressiveフラグで実行します…そして、明らかなアラートを生成するような困難な障害をトリガーすることなく、Defenderを現在の脅威インテリジェンスから飢えさせ始めます」とVectraは述べています。

標的型の実践的な攻撃

Huntress Labsの研究者は、3つのエクスプロイトに関連した標的型攻撃活動と思われるものを観察したことを報告しました。同社の分析は、誰かが意図的で実践的な侵入においてエクスプロイトを使用していることを示唆しており、攻撃者は悪用を試みる前に手動で特権列挙コマンドを実行していました。Huntressは、攻撃者がPicturesフォルダのような低ノイズのユーザーディレクトリとDownloads内の2文字のサブフォルダに、検出を回避するために設計された元のファイル名と名前変更されたバリアントを使用してバイナリをステージングしていることを発見しました。名前を変更したバイナリはVirusTotalでの検出率を大幅に低下させました。

「最近のアクティビティは、BlueHammer、RedSun、およびUnDefendが最小限の変更で使用されていることを示しています」とPicus Securityのセキュリティ研究リーダーであるHüseyin Can Yüceel氏は述べています。「バイナリはDownloadsやPicturesなどの低権限ユーザーディレクトリにステージングされており、元の概念実証ファイル名または名前変更された実行可能ファイルなどのわずかに難読化されたバリアントを再利用することが多くあります。」攻撃は低い複雑性ながら効果的な戦術を反映しており、中程度のスキルを持つ敵は、特権をエスカレートするか、エンドポイント防御を弱めるために、侵害後のシナリオで公開エクスプロイトコードを活用していると、Yüceel氏は述べています。3つのPoC すべてがDefenderを対象としていますが、CVE-2026-33825のパッチは他の2つの手法によって露出されたより広い攻撃面から保護していないと彼は述べています。

「これらのエクスプロイトは、Defenderの特権ワークフロー内のより広いトラストおよび検証の弱点を指しています」とYüceel氏は述べています。BlueHammerはファイル修復でのレース条件を悪用し、RedSunはクラウドタグ付きファイルロールバックの処理を対象とし、UnDefendは更新およびヘルスレポートメカニズムの弱点を露出させます。エクスプロイトは攻撃者がローカルアクセスを持つことを必要とします。しかし、その成功が達成されると、中程度のスキルを持つ敵でさえエクスプロイトを使用して確実に特権をエスカレートするか防御を弱めることができると、彼は付け加えています。「合わせて、パス検証、レース条件、および特権ファイル処理の過度な信頼に関するシステム的な問題を強調しています。」

VectraのシニアソリューションアーキテクトであるJustin Howe氏は、RedSunおよびUnDefendをDefenderの別個の独立した欠陥を悪用していると説明しており、これに対するCVEはまだありません。

Nightmare-Eclipseの各エクスプロイトは、Microsoft Defenderが実行時に独自のI/Oパスを検証せずに特権ファイル操作を実行する方法の異なる側面を悪用しています。各エクスプロイトは同じギャップの異なるバージョンを悪用していると彼は述べています。

BlueHammerはDefenderの署名更新ワークフロー中のVSSスナップショットマウントを悪用し、RedSunはクラウドファイル修復中の検証されていないライトを活用し、UnDefendはDefenderの署名更新パイプラインを改ざんしながらエンドポイントを管理コンソールに対して健全なものとして報告しています。「より大きな図は、Defenderが実行しようとしているトラスト境界の内側にあるということです。攻撃者がその独自の特権ワークフローを操作すると、それは配信メカニズムになります」とHowe氏は述べています。

より難しい部分は初期アクセス

独立した研究者はPoC をテストして正常に複製したと彼は述べています。攻撃者にとって難しい部分は悪用ではなく初期アクセスになるでしょう。「Huntressが報告したすべての実際のケースは[多要素認証]なしの侵害されたSSL VPNアカウントで始まりました。攻撃者がいかなる足がかりを得たら、RedSunでそれをSYSTEMに変換するのは簡単です」とHowes氏は述べています。

彼は組織がBlueHammerを閉じるためにMicrosoftの2026年4月の更新を適用し、Antimalware Platform v4.18.26050.3011が存在することを確認することを推奨しています。「UnDefendはダッシュボードを改ざんできるため、バージョン自体を確認してください」と彼は助言しています。

初期アクセスから保護するために、組織はすべてのVPNとリモートアクセスパスで多要素認証を実施する必要があります。また、DownloadsやPictures、Tempなどのユーザーが書き込み可能なディレクトリからの実行をブロックし、TieringEngineService.exeのハッシュをベースライン化して、変更が即座に見えるようにする必要があります。「対象となっているエンドポイントエージェントとトラスト境界を共有しない検出レイヤーを追加してください」とHayes氏は述べています。