### RedSun：新たなDefenderゼロデイ 「RedSun」と名付けられたこのエクスプロイトは、最新の4月パッチチューズデーのアップデートが適用されているにもかかわらず、Windows 10、Windows 11、およびWindows Serverシステムに影響を与えます。これは、Windows Defenderがクラウドタグを持つファイルを検出した際に、そのファイルが悪意のあるものであるかどうかにかかわらず、元の場所にファイルを書き戻すという脆弱性を悪用するものです。 「Windows Defenderが、悪意のあるファイルにクラウドタグが付いていることを認識したとき、なぜか、保護するはずのアンチウイルスが、見つけたファイルを元の場所に書き戻すのが良い考えだと判断してしまうのです」と、[研究者は説明しています](https://github.com/Nightmare-Eclipse/RedSun)。 この概念実証（PoC）は、この動作を悪用してシステムファイルを上書きし、最終的に管理者権限を取得します。 ### エクスプロイトの確認 Tharrosの主任脆弱性アナリストであるWill Dormann氏は、このエクスプロイトの機能を確認しました。完全にパッチ適用済みのWindows 10、Windows 11、およびWindows Server 2019以降のシステムで、SYSTEM権限を正常に付与できることを確認しています。 「このエクスプロイトは『Cloud Files API』を使用し、それを使ってEICARをファイルに書き込みます。oplockを利用してボリュームシャドウコピーの競合に勝利し、ディレクトリジャンクション/リパースポイントを使用して、ファイルの上書き（新しい内容で）をC:\Windows\system32\TieringEngineService.exeにリダイレクトします」とDormann氏は[Mastodonのスレッド](https://infosec.exchange/@wdormann/116412019416916182)で説明しました。 「この時点で、Cloud Filesインフラストラクチャは、攻撃者が仕込んだTieringEngineService.exe（つまりRedSun.exeエクスプロイト自体）をSYSTEMとして実行します。ゲームオーバーです。」  *RedSunエクスプロイトが完全にパッチ適用済みのWindows 11でSYSTEM権限を付与する様子。出典：Dormann* VirusTotalの一部のアンチウイルスベンダーは、実行ファイルにEICAR（アンチウイルステストファイル）が埋め込まれているため、このエクスプロイトを検出しています。しかし、研究者はEICAR文字列を実行ファイル内で暗号化することで検出を回避しました。 この脆弱性に関するより詳細な[技術的な解説](https://nefariousplan.com/posts/redsun-windows-defender-system-write/)は、セキュリティ研究者のKevlarによって共有されました。 ### BlueHammerの残響 今回の公開は、研究者が以前に公開した別のMicrosoft Defender LPEゼロデイ脆弱性「BlueHammer」（現在はCVE-2026-33825として追跡）のエクスプロイトに続くものです。Microsoftはこの脆弱性を最近のパッチチューズデーのアップデートで修正しました。 ### 研究者の抗議 研究者は、これらのゼロデイPoCの公開は、Microsoftのサイバーセキュリティ研究者やMicrosoft Security Response Center（MSRC）への脆弱性開示への対応に対する抗議の一形態であると述べています。 「通常なら、バグを修正するように懇願するプロセスを踏むのですが、要約すると、彼らから個人的に『君の人生を台無しにしてやる』と言われ、そして彼らはそれを実行しました。私が唯一このようなひどい経験をしたのか、それとも少数の人々だけなのかは分かりませんが、ほとんどの人は諦めて損失を切り捨てると思いますが、私にとって彼らはすべてを奪い去りました」と、[研究者は主張しています](https://deadeclipse666.blogspot.com/2026/04/public-disclosure-response-for-cve-2026.html)。 ### Microsoftの回答 これらの主張される問題について連絡を受けた際、Microsoftは以下の声明を発表しました。 「Microsoftは、報告されたセキュリティ問題の調査と、顧客を可能な限り迅速に保護するための影響を受けるデバイスの更新という顧客へのコミットメントを持っています」と、Microsoftの広報担当者はBleepingComputerに語りました。 「また、私たちは協調的な脆弱性開示を支持しています。これは、問題が公開前に慎重に調査され、対処されることを保証する、広く採用されている業界の慣行であり、顧客保護とセキュリティ研究コミュニティの両方をサポートします。」