セキュリティ研究者 Nightmare Eclipse は 6 月 10 日、6 月パッチ適用後の Windows 10 / 11 でも有効な Microsoft Defender のゼロデイ「RoguePlanet」の PoC を GitHub に公開しました。Defender 内部のファイル操作における競合状態 (race condition) を突き、非特権ユーザーが SYSTEM 権限で任意コードを実行できるローカル特権昇格 (LPE) 脆弱性で、悪意ある .vhd(x) ファイルを開かせるか SMB 共有にアクセスさせることでトリガします。前日の 6 月 Patch Tuesday で同氏報告の 2 件が修正された直後の公開となり、Microsoft の脆弱性開示プロセスを巡る対立が継続しています。
主なポイント
- 6 月 10 日公開。Patch Tuesday (6 月 9 日 PT) でパッチ済みの最新 Windows 10 / 11 でも刺さる
- Defender の内部処理での race condition を悪用し、Defender (SYSTEM) が行うファイル操作を攻撃者制御の操作に差し替える LPE
- 攻撃成功率はマシン依存。研究者は「ある環境では 100%、別の環境ではほぼ通らない」と説明
- ThreatLocker が独立に再現に成功しており、理論上の問題ではなく実機で動作することが確認済み
- 同研究者は 4 月以降 BlueHammer (CVE-2026-33825)・RedSun・UnDefend・YellowKey・GreenPlasma・MiniPlasma に続き 6 件目以上のゼロデイを連続公開しており、バグバウンティ運用への抗議行動が長期化
出典: Microsoft Defender 'RoguePlanet' zero-day grants SYSTEM privileges (BleepingComputer)