### 新たなゼロデイが出現 セキュリティ研究者の**Nightmare Eclipse**は、**Microsoft Defender**を標的とする新たなゼロデイエクスプロイト「RoguePlanet」を公開しました。この公開は、同研究者によって以前に報告された2つの脆弱性に対処した**Microsoft**の2026年6月パッチチューズデーの直後に行われました。 ### RoguePlanetの能力 「RoguePlanet」エクスプロイトは、**Microsoft Defender**内の競合状態（race condition）を利用して、SYSTEM権限を持つコマンドプロンプトを起動します。**Nightmare Eclipse**は、この脆弱性が完全にパッチ適用されたWindows 10およびWindows 11デバイスに影響を与えると主張しています。概念実証（PoC）エクスプロイトは、**Microsoft**によって以前のエクスプロイトが**GitHub**および**GitLab**から削除されたとされる後、自己ホスト型Gitリポジトリで共有されました。 「このエクスプロイトは競合状態であるため、成功したりしなかったりします。一部のマシンでは100%の成功率を達成できましたが、他のマシンでは機能させるのに苦労しました」と**Nightmare Eclipse**はリポジトリで述べています。 この脆弱性は、Windows 11の公式ビルドおよびカナリアビルド、ならびに最新の2026年6月セキュリティアップデートがインストールされたWindows 10システムに対して、成功裏にテストされたと報告されています。 ### 独立した検証 サイバーセキュリティ企業である**ThreatLocker**は、この脆弱性を独立して再現し、**KB5094126**を実行している完全にパッチ適用されたWindows 11システムに対する有効性を確認しました。**ThreatLocker**のCEOであるDanny Jenkins氏は、「私たちの初期分析は、RoguePlanetエクスプロイトが有効であり、説明どおりに機能することを確認しています。アプリケーションの許可リストを使用している組織は、エクスプロイトの実行を防ぐことができ、この攻撃に対する効果的な保護層を提供します」と述べています。 ### RCEからLPEへの進化 当初、「RoguePlanet」はリモートコード実行（RCE）脆弱性として開発されました。これは、**Microsoft Defender**がリモートSMB共有上のファイルを処理する方法を悪用し、**Defender**が自身のファイルを上書きする可能性がありました。別のRCEシナリオでは、被害者に特定のシンボリックリンク評価設定が有効になっているSMB共有を開くように強制することが含まれていました。 しかし、**Nightmare Eclipse**は、**Microsoft**が5月中旬に`mpengine!SysIO*` APIをパッチ適用することで**Defender**を静かに強化し、ジャンクション攻撃をブロックしたと主張しています。これにより、「RoguePlanet」の書き直しが必要となり、現在の実証された能力はローカル権限昇格（LPE）に限定されました。 ### 継続的な開示論争 このリリースは、**Nightmare Eclipse**と**Microsoft**の間で、同社の脆弱性開示およびバグバウンティ慣行に関する継続的な論争の一部です。ここ数ヶ月、この研究者は**Microsoft Defender**、**BitLocker**、およびその他のWindowsコンポーネントを標的とする**BlueHammer**、**RedSun**、**GreenPlasma**、**YellowKey**を含む、いくつかのWindowsゼロデイを公に開示してきました。 **Microsoft**は、2026年6月のパッチチューズデーアップデートで**GreenPlasma**と**YellowKey**の脆弱性に対処しました。以前、**Microsoft**はこれらの開示に対し、「顧客に実害を与える悪意のある活動」に対する法執行機関との連携に関する警告で対応しましたが、これはサイバーセキュリティコミュニティの多くの人々によって、研究者に対する脅威と解釈されました。 **Nightmare Eclipse**は、**Microsoft**が過去のレポジトリを**GitHub**および**GitLab**から繰り返し標的として削除したと主張しており、その結果、projectnightcrawler.devに自己ホスト型コードプラットフォームを設立しました。 **Ghost Protocol**は、この新しいゼロデイに関する声明を**Microsoft**に求めており、より多くの情報が入手可能になり次第、このレポートを更新します。