攻撃者は、SYSTEM権限または管理者権限の昇格を目的とした、最近開示された3つの**Windows**セキュリティ脆弱性を活発に悪用しています。 今月初めから、「Chaotic Eclipse」または「Nightmare-Eclipse」として知られるセキュリティ研究者が、**Microsoft**のSecurity Response Center（**MSRC**）による開示プロセスの処理方法への抗議として、3つのセキュリティ問題すべてに対する概念実証エクスプロイトコードを公開しました。 脆弱性のうち2つ（[BlueHammer](https://www.bleepingcomputer.com/news/security/disgruntled-researcher-leaks-bluehammer-windows-zero-day-exploit/)および[RedSun](https://www.bleepingcomputer.com/news/microsoft/new-microsoft-defender-redsun-zero-day-poc-grants-system-privileges/)と名付けられたもの）は**Microsoft Defender**のローカル特権昇格（LPE）の欠陥であり、3つ目（[UnDefend](https://github.com/Nightmare-Eclipse/UnDefend)として知られるもの）は、標準ユーザーが**Microsoft Defender**の定義アップデートをブロックするために悪用される可能性があります。 リーク当時、これらのエクスプロイトが標的としていたセキュリティ上の欠陥は、公式なパッチやアップデートが存在しなかったため、**Microsoft**の定義ではゼロデイと見なされていました。 木曜日、**Huntress Labs**のセキュリティ研究者らは、3つのゼロデイエクスプロイトすべてが実攻撃で展開されていることを確認したと報告しており、BlueHammer脆弱性は4月10日から悪用されているとのことです。 また、侵害されたSSLVPNユーザーを使用して侵入された**Windows**デバイスに対する攻撃も観測されており、「ハンズオンキーボードの脅威アクター活動」の証拠が見られました。 「**Huntress SOC**は、Nightmare-EclipseによるBlueHammer、RedSun、およびUnDefendのエクスプロイト手法の使用を観測しています」と研究者らは述べています。 ## パッチ待ちのゼロデイが2つ 現在**Microsoft**はBlueHammer脆弱性を**CVE-2026-33825**として追跡し、2026年4月のセキュリティアップデートでパッチを適用しましたが、他の2つの欠陥はまだ対処されていません。 以前に報告されたように、攻撃者はRedSunエクスプロイトを使用して、Windows Defenderが有効になっているWindows 10、Windows 11、およびWindows Server 2019以降のシステムで、4月のPatch Tuesdayパッチを適用した後でもSYSTEM権限を取得できます。 「Windows Defenderが、悪意のあるファイルにクラウドタグが付いていることを認識すると、どのような愚かで滑稽な理由であれ、保護するはずのアンチウイルスが、見つけたファイルを元の場所に戻すのが良い考えだと判断します」と研究者は説明しました。「PoCはこの動作を悪用してシステムファイルを上書きし、管理者権限を取得します。」 「**Microsoft**は、報告されたセキュリティ問題の調査と、顧客を可能な限り迅速に保護するために影響を受けるデバイスのアップデートを行うという顧客へのコミットメントを持っています」と、匿名の研究者によって報告された開示問題に関する追加情報について連絡を受けた**Microsoft**の広報担当者は、今週初めにBleepingComputerに語りました。 「また、私たちは協調的な脆弱性開示を支持しています。これは、問題が公開前に慎重に調査され、対処されることを保証し、顧客保護とセキュリティ研究コミュニティの両方を支援する、広く採用されている業界慣行です。」