- CISAはMicrosoft Defenderの権限昇格脆弱性であるBlueHammerを、既知の悪用可能な脆弱性カタログに追加しました。
- 研究者が野生での積極的な悪用を確認したため、連邦機関は5月6日までにパッチを当てるか使用を中止する必要があります。
- 情報公開は「Chaotic Eclipse」から発表され、他の2つのDefenderゼロデイも明かされました。Huntress Labsは悪用の試みを疑わしいグローバルインフラに結びつけています。
米国サイバーセキュリティおよびインフラセキュリティ庁(CISA)は、BlueHammerを既知の悪用可能な脆弱性(KEV)カタログに追加しており、連邦民間行政府(FCEB)機関に2週間以内に脆弱なソフトウェアにパッチを当てるか、使用を完全に中止するよう指示しています。
BlueHammerは「Microsoft Defenderのアクセス制御の粒度不足」脆弱性として説明されており、許可されていない攻撃者がローカルで権限を昇格させることを可能にします。これはCVE-2026-33825として追跡されており、7.8/10(高)の重大度スコアが付与されています。
これは今年4月初旬に、「Chaotic Eclipse」という別名を持つ一見不満そうなセキュリティ研究者によって最初に公開されました。彼らはMicrosoftが脆弱性の公開をどのように扱うかに満足していなかったため、当時ゼロデイとしてブログにこの脆弱性をブログで公開しました。
記事は以下に続きます
RedSunおよびunDefend
「Microsoftに対してはったりではなく、再びやっている」と彼らは述べ、BlueHammerのGitHubリポジトリを共有しました。
Microsoftは「顧客を保護するために報告されたセキュリティ問題を調査し、できるだけ早く影響を受けたデバイスを更新するというお客様へのコミットメントを持っている」と述べて応答しました。
「また、私たちは調整された脆弱性の公開をサポートしており、これは広く採用されている業界慣行であり、公開前に問題が慎重に調査され対処されることを保証するのに役立ち、顧客保護とセキュリティ研究コミュニティの両方をサポートしています」とMicrosoftは述べました。
1週間後、同じ研究者はMicrosoft Defenderのもう1つのゼロデイ脆弱性を公開しました。RedSunと呼ばれるこの脆弱性は、Defenderが有効になっている最新版のWindows 10、Windows 11、およびWindows Serverで、悪意のある行為者にSYSTEM権限を付与する可能性があるローカル権限昇格の欠陥として説明されています。
彼らはまた、unDefendと呼ばれる第3の欠陥もリリースしました。これは標準ユーザーとして悪用されて、Defenderの定義更新をブロックすることができるようです。
CISAが脆弱性をKEVに追加する場合、それは野生で積極的に悪用されていることを示す証拠があることを意味します。FCEB機関は5月6日までにパッチを当てる必要があります。
同時に、Huntress Labsのセキュリティ研究者は、野生で悪意のある行為者がこれらの欠陥を悪用しているのを見たと述べました。
「このアクティビティは、隔離されたプルーフオブコンセプト(PoC)テストではなく、より広い侵入の一部であるように見えました」とサイバーセキュリティ会社はレポートで述べました。「Huntressは、侵害された環境に関連する疑わしいFortiGate SSL VPNアクセスを特定しました。これには、ロシアに地理的に位置するソースIPが含まれており、他の地域で観察された追加の疑わしいインフラストラクチャがあります。」
