Microsoft Defender の脆弱性 CVE-2026-33825:非調整型の PoC 公開

New PoC Exploit Published for Microsoft Defender 0-Day Flaw

2026/04/16 gbhackers — Microsoft Defender の脆弱性に対する Proof-of-Concept (PoC) エクスプロイトを、Chaotic Eclipse という名で活動するセキュリティ研究者が公開した。2026年04月15日 に公開されたエクスプロイトは、2026年4月の Patch Tuesday で修正された脆弱性 CVE-2026-33825 に対するものである。この非調整型の公開が浮き彫りにするのは、Microsoft の脆弱性開示プログラムと独立系セキュリティ研究者との間に存在する対立構造の激化である。

攻撃者がコードを武器化する前に確保されるべき、防御側が対策を講じる時間が、この種の公開により大幅に削られてしまう。

RedSun エクスプロイト公開

新たに公開された RedSun という名のエクスプロイトが、この研究者により公開 GitHub リポジトリへアップロードされた。

同一人物による公開パターンには、これまでにも BlueHammer と呼ばれる denial-of-service ツールの事例がある。Chaotic Eclipse は、自身のブログ上で PGP 署名付きメッセージにより RedSun コードを告知した。

この CVE-2026-33825 の PoC 公開に関する研究者の目的は、Microsoft のセキュリティ・アップデートに対する直接的な抗議である。コードを直接公開することで、業界標準の開示プロトコルを完全に回避している。

ベンダーと協調せずにエクスプロイトを公開した理由について、この研究者は詳細に説明している。

Chaotic Eclipse によると、当初は Microsoft Security Response Center (MSRC) へバグ報告を提出し、標準手順に従おうとしたとされる。しかしブログには、MSRC は公開リスクを認識しながらも当初の報告を却下したと記されている。

さらに研究者は、企業側による不当な扱いを主張し、Microsoft が自身の生計を妨害し、提出プロセスにおいて不誠実な対応を行ったと批判している。

また、協調的な脆弱性開示に関する Microsoft の公式見解についても、現実とかけ離れた軽視的な姿勢であると強く非難している。

この件が示すのは、バグバウンティに対する評価や開示のタイミングを巡り、独立研究者と大手テクノロジー企業が衝突した、過去の事例と同様の構図である。

今後の脅威と対策

この事案により、Microsoft Defender をエンドポイント保護に利用するエンタープライズ環境において重大な懸念が生じている。今後においても、深刻な脆弱性を公開すると、Chaotic Eclipse は示唆している。

彼のブログが警告するのは、Microsoft との継続的な対立により、Critical な Remote Code Execution (RCE) エクスプロイト公開へと向かわせているという状況である。

さらに、Microsoft パッチ・リリースの効果を無効化する目的で、新たなエクスプロイトを公開する意図を明示している。

このような非調整型公開に対しても、ユーザー組織は即時的かつ能動的な防御対応を取る必要がある。セキュリティ・チームは、以下の対策を実施すべきである。

  • すべてのエンタープライズ環境において CVE-2026-33825 に対する Microsoft 公式パッチを即時適用する。
  • RedSun および BlueHammer GitHub リポジトリに関連するシグネチャに基づき、ネットワーク・トラフィックおよびエンドポイント検知を監視する。
  • Microsoft Defender に関連するプロセスの異常動作について、セキュリティログを継続的に監査する。
  • 厳格なアクセス制御およびネットワーク分割を維持し、将来の RCE エクスプロイト発生時における影響範囲を最小化する。

訳者後書:今回の深刻な事態は、Microsoft Defender の権限を不正に奪われる脆弱性に起因します。2026年4月の Patch Tuesday で修正された、脆弱性 CVE-2026-33825 を悪用する攻撃者は、SYSTEM 権限奪取の可能性を得ます。通常、セキュリティ製品はベンダーと研究者が協力して修正を行いますが、今回に関しては、研究者と Microsoft 側のコミュニケーションの行き違いから、修正パッチの公開とほぼ同時にエクスプロイトの詳細がネット上に公開されました。これを、非調整型の公開から情報を得た攻撃者は、対策が済んでいない組織を即座に攻撃対象にできます。防御側にとって、対策を考える時間が奪われてしまったことがこの問題の核心です。ご利用のチームは、ご注意ください。よろしければ、Microsoft Defender での検索結果も、ご参照ください。