Chaotic Eclipse Unveils RoguePlanet Exploit Targeting Fully Patched Windows
2026/06/11 SecurityAffairs — セキュリティ研究者 Chaotic Eclipse (別名 Nightmare-Eclipse) が公開したのは、Microsoft Defender に存在するゼロデイ脆弱性 RoguePlanet に対する新たな PoC (Proof-of-Concept) エクスプロイトである。
この競合状態の脆弱性は、攻撃者に対して SYSTEM 権限を付与する可能性があるため、最高権限でのコード実行に至る恐れがある。今回の PoC は、2026年6月の Patch Tuesday で更新された Windows 10/11 環境で検証されており、最新パッチ適用済みシステムであっても、依然として影響を受ける可能性が示されている。
研究者は、「この PoC の噂は事実であり、また、今月もゼロデイ脆弱性が公開される」と述べていた。
この研究者は、Microsoft の更新により初期の PoC が破壊された後も、数週間にわたり継続的に作業を行い、RoguePlanet エクスプロイトを完成させたとしている。Microsoft はパス・リダイレクト攻撃への対策を強化したが、5 月末までに PoC は復旧されたと主張している。
さらに、Microsoft Defender には依然として脆弱性が残存しており、複数コンポーネントに影響する追加のメモリ破壊バグやセキュリティ問題も発見したと、彼は主張している。
現在の RoguePlanet エクスプロイトは、標準ユーザーが ISO イメージをマウントできないため Windows Server では動作しない。ただし、根本的な脆弱性はサーバ環境にも存在し、異なる手法での悪用が可能であると研究者は述べている。
研究者は、「競合状態の部分は興味深く、PoC を再設計すれば条件に関係なく 100% 成功する可能性があると考えている。このバグにはもう取り組まないが、攻撃が成功すれば SYSTEM シェルが生成される」と説明している。
RoguePlanet は、この研究者が公開してきた一連の脆弱性の最新例であり、BlueHammer (CVE-2026-33825)/UnDefend (CVE-2026-45498)/RedSun (CVE-2026-41091) に続くものである。これらの公開は、Microsoft と脆弱性報告プロセスへの対立に起因すると見られている。
2026年5月には、BitLocker に影響する YellowKey と、Windows Collaborative Translation Framework (CTFMON) に影響する GreenPlasma という、2 件のゼロデイ脆弱性も公開された。YellowKey は BitLocker の保護をバイパス可能とし、GreenPlasma は権限昇格を可能にする。
この研究者は、MSRC アカウントのアクセス剥奪/報告の却下/報酬未払いなどについて Microsoft を批判している。その一方で、5月末に Microsoft Security Response Center が発表したのは、これらのゼロデイ公開を無責任だとする見解である。
同社は、「ここ数週間で複数のゼロデイ脆弱性が公開された。これらの詳細は公開前に Microsoft に共有されておらず、顧客に不必要なリスクをもたらしている。公開されたエクスプロイト・コードを悪用する攻撃者から顧客を保護するために、影響評価/パッチ開発/防御対応に継続的に取り組んでいる」と説明している。
Microsoft の声明は、Coordinated Vulnerability Disclosure (協調的脆弱性開示) の正当性を強調するものである。この手法では、研究者がベンダーに事前通知し、修正期間を確保した後に情報が公開される。
同社は数百の研究者と協力し、バグバウンティ・プログラムを通じて報酬を提供し、発見者を公表している。「このパートナーシップにより、PoC コードが攻撃者の手に渡る前に更新を適用できる。しかし、RedSun/UnDefend/BlueHammer/YellowKey/GreenPlasma/MiniPlasma として知られる脆弱性は、責任ある開示が行われていない」と同社は述べている。
一連の事案が示しているのは、ベンダーと研究者の間で開示プロセスを巡る対立が深まる中、ゼロデイ公開が現実のリスクへ直結している点である。
訳者後書:セキュリティ研究者である Chaotic Eclipse (別名 Nightmare-Eclipse) による、一連のゼロデイ脆弱性の公開は、とても興味深いものです。今回の問題の背景にあるのは、ベンダーとセキュリティ研究者の間における、脆弱性報告プロセスや報酬支払いを巡る対立と、それに伴う協調的脆弱性開示 (CVD) 枠組みの不全にあります。報告の却下やアカウント制限に抗議する形で、研究者が修正パッチが存在しないゼロデイ脆弱性に対して次々とエクスプロイト・コードを一般公開したことで、最新の環境であっても防ぎきれないリアルな脅威が生じています。脆弱性を発見する研究者と、それを修正するベンダーが信頼関係を保ち、安全に情報を共有し合うエコシステムを維持することが、インフラ全体の安全性を守るため不可欠ですが、この対立劇が映し出すのは、まったく逆の状況です。よろしければ、Chaotic Eclipse での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.