Threat Actors Allegedly Listed Windows Zero-Day RCE Exploit For Sale on Dark Web
2025/08/20 CyberSecurityNews — 脅威アクターと称する人物が、Windows のゼロデイ・リモート・コード実行 (RCE) エクスプロイトを $125k で販売している。完全にアップデートされた Windows 10/11 および Windows Server 2022 システムを標的とするエクスプロイトだと、この脅威アクターは主張している。
ThreatMon によると、この投稿が宣伝する武器化されたエクスプロイト・コードは、事前の認証やユーザー操作を必要とせずに SYSTEM レベルの権限を窃取し、Address Space Layout Randomization (ASLR)/Data Execution Prevention (DEP)/Control Flow Guard (CFG) といった、Windows 固有のセキュリティ制御を回避するという。
この販売者は、提供するエクスプロイトの技術的な機能を強調し、Kernel レベルでのコード実行と、SYSTEM レベルへの権限昇格を可能にすると述べている。それにより、企業/個人システムにとって深刻な懸念が生じている。
主なポイント
- $125k 相当の Windows ゼロデイ RCE エクスプロイトは、パッチ適用済みの Windows 10/11/Server 2022 を、SYSTEM システム権限で標的化できる。
- ASLR/DEP/CFG を回避し、AV/EDR の検出を回避する。
- ネットワーク・ベースの攻撃であり、ユーザーの操作を必要としない。
そのエクスプロイトの広告では、シグネチャが検出されないという、ステルス性の高いプロファイルが強調され、主要なウイルス対策および EDR ソリューションによる検出を回避すると述べられている。
また、このエクスプロイトの成功率は 95% を超えるとされ、APT グループやランサムウェア攻撃者にとって、きわめて魅力的なものとなっている。
ゼロデイ RCE エクスプロイトの技術的詳細
このエクスプロイトは、ネットワーク・ベースの攻撃ベクターを介して、リモート・コード実行 (RCE) を達成するように設計されており、ユーザーの操作は一切不要であるという。この戦術は、未認証のリモート攻撃対象領域という悪用を容易にする、最も危険な脆弱性カテゴリーに該当する。
このエクスプロイトは、権限を昇格させる能力を持つと主張するが、通常では標準ユーザーから Windows の最高権限レベルである SYSTEM に昇格させるものである。さらに、Windows カーネルへのダイレクトな操作により、一般的なユーザー・モードの制限を回避できるという。
オークションの詳細によると、提示価格は $125k であり、暗号通貨 BTC/XMR による支払いが推奨されている。この価格付けが反映するのは、堅牢で検出が不可能なエクスプロイト・コードに対する市場の需要の高さである。
販売に関する条件としては、排他性が重視されており、プレミアム・エクスプロイトでよく見られるように、明示的に交渉しない限り、転売は禁止とされている。
脅威環境の深刻化に直面しているユーザー組織にとって必要なことは、カーネル・レベルの異常なアクティビティの監視を強化し、タイムリーなパッチ管理を実施し、ゼロデイ・エクスプロイトの試みを検出するための、高度な脅威インテリジェンス・ツールを導入することだ。
このインシデントが浮き彫りにするのは、未知の脆弱性に関連する継続的なリスクと、サイバー犯罪市場の継続的な進化である。
新たな脅威インテリジェンス・フィードを常に把握し、提要されている緩和策を適用し、ゼロデイ脆弱性に関連する活動を、関係当局やベンダーに報告することが推奨される。
アンダーグラウンドでは、Windows のゼロデイ脆弱性が高値で販売されているようである。未知の Windows カーネルの欠陥を標的とするエクスプロイトであり、ユーザー操作や認証を必要とせずにリモートから任意コード実行を可能にし、さらに ASLR/DEP/CFG といった防御機構を回避すると、この記事は指摘しています。これといった、具体的な注意点がないだけに、それぞれのユーザー組織における、セキュリティ体制が重要となります。よろしければ、カテゴリ Dark Web も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.