最近公開されたMicrosoft Defenderの権限昇格脆弱性が、公開されているサンプルコード(PoC)を使用して実環境でゼロデイとして悪用されていると、Huntressが警告しています。
4月14日にパッチが適用されたこの問題はCVE-2026-33825として追跡されており、CVSSスコアは7.8です。Microsoftはこれを、アクセス制御の粒度が不十分なことに起因する権限昇格の脆弱性と説明しています。
このCVEは4月2日に、Chaotic EclipseおよびNightmare-Eclipseとして知られている不満を持つ研究者によって公開され、完全なシステム権限につながるレース条件であると警告されました。
研究者はこの脆弱性をBlueHammerと名付け、PoCエクスプロイトコードを彼らのGitHubリポジトリに公開しました。研究者の実装のいくつかのバグを修正したフォークが、ドキュメントと手順を含めたことによって、エクスプロイトへの関心は急速に高まりました。
BlueHammerは、Defenderの署名更新メカニズムにおけるチェック時から使用時(TOCTOU)の脆弱性で、低い権限を持つ攻撃者がシステム権限を取得できるようにします。
公開されたPoCを悪用した最初の攻撃は4月10日に見られ、サイバーセキュリティ企業Huntressが4月16日に追加のアクティビティが観察されたと警告しています。
「Huntressは侵害された環境に関連する疑わしいFortiGate SSL VPNアクセスを特定しており、ロシアに位置情報が特定されたソースIPを含め、他の地域で追加の疑わしいインフラストラクチャが観察されました」と同社は述べています。
攻撃はChaotic Eclipseが公開した3つの技術、つまりBlueHammer、RedSun、およびUnDefendのすべてを利用しました。
BlueHammerはDefenderの操作を中断するための操作ロック(oplock)に依存し、署名更新を引き起こして、Defenderにセキュリティアカウントマネージャー(SAM)データベースを出力ディレクトリにコピーするように騙します。
BlueHammerはその後、SAM hiveを解析し、ユーザーのNTハッシュを復号化し、すべてのユーザーパスワードを一時的に新しいパスワードに変更し、新しいパスワードを使用してシステム権限を取得するために使用できるadminセッションを生成します。
RedSunは同じように機能しますが、システム権限を達成するために重要なシステムファイルを書き換えることに依存しています。Defenderを騙して、存在しない「悪意のあるファイル」を復元しようとさせてSystem32ディレクトリに自身のコピーを配置し、その後システム権限でシェルを生成します。
UnDefendは定義ファイルをロックすることでDefenderを無効にします。そのため、定義更新とMicrosoftのマルウェア削除ツールフォルダの変更を監視して、Defenderが使用する前に新しいファイルをロックし、Defenderの起動直後にバックアップ定義ファイルをロックします。
「Huntressが観察した最も明らかなパターンの1つは、ステージングと実行のためのユーザー書き込み可能なディレクトリの使用でした。最も最近の事例では、バイナリは低権限ユーザーのPicturesフォルダとDownloadsの下の短い2文字のサブフォルダからステージングされました」とHuntressは述べています。
サイバーセキュリティ企業によると、攻撃者はFortiGateファイアウォールへのSSL VPN接続を通じてターゲット環境にアクセスしました。ハッカーはDefenderエクスプロイトの動作方法に精通しておらず、試行に失敗しましたが、ハンズオンのキーボード偵察操作を実行しました。
水曜日に、米国のサイバーセキュリティ機関CISAはCVE-2026-33825をその既知の悪用脆弱性(KEV)カタログに追加し、連邦機関に5月6日までにパッチを適用することを促しています。
翻訳元: https://www.securityweek.com/recent-microsoft-defender-vulnerability-exploited-as-zero-day/
