
MicrosoftによるWindows Defenderのゼロデイ脆弱性向けパッチが、新たな問題を引き起こす可能性がある。一部のシステムでは、このアップデートが利用可能なディスク容量を完全に消費するほど大容量のファイルを書き込む可能性があるという。
7月8日水曜日にリリースされたこのパッチは、RoguePlanet脆弱性に対処するものである。この脆弱性は、完全にパッチ適用されたWindows 10およびWindows 11マシン上で攻撃者にSYSTEMレベルのアクセスを付与するローカル権限昇格エクスプロイトである。RoguePlanetはNightmare Eclipse(別名Chaotic Eclipse)というハンドルネームで活動する研究者によって公に開示され、DefenderのリアルタイムスキャンエンジンにおけるTOCTOU(Time-of-Check to Time-of-Use)競合状態を標的としている。
悪用に成功した場合、RoguePlanetはWindowsマシン上で最高の権限レベルであるNT AUTHORITYSYSTEMとして動作するWindowsコマンドプロンプトを生成し、攻撃者はコードの実行、ソフトウェアのインストール、システム上のデータへのアクセスや削除が可能になる。
副作用
Ars Technicaによると、RoguePlanet修正のためにMicrosoftがリリースしたパッチにより、Defenderが影響を受けるマシン上の利用可能なディスク容量を埋め尽くすまで成長する大容量ファイルを生成する可能性がある。この動作を引き起こす正確な条件はまだ完全には解明されていないが、複数のWindows構成で問題が報告されている。
この複雑な状況は、Microsoftと情報開示を行っている研究者との間で激化する対立の最新章である。Nightmare Eclipseは2026年4月以降、BlueHammer(CVE-2026-33825、4月にパッチ適用)、RedSun、Defenderを完全に無効化できるツールであるUnDefend、YellowKey、GreenPlasma、MiniPlasmaを含む、少なくとも7つのDefender関連エクスプロイトをリリースしている。
Microsoftは以前、害を及ぼす行為者に対しては法執行機関と連携して対応すると警告しており、研究者はこれを理由に、エクスプロイトを主流プラットフォームから自家運用のGitリポジトリに移すと述べた。初期のエクスプロイトのうち3つは、Microsoftがパッチを発行する前に実際の環境で悪用されたことが確認されている。
Huntressの研究者らは、この研究者のキャンペーンによる初期のツールを使用した実際の侵入を記録しており、BlueHammer、RedSun、UnDefendがアクティブな攻撃チェーンで観測されている。
ユーザーへの推奨事項は変わらない。RoguePlanetの脆弱性を解消するためにアップデートをインストールすることだが、インストール後の数日間はディスク容量を注意深く監視すること。Microsoftはパッチの副作用に対する修正が開発中かどうかについてまだコメントしていない。
出典: Patch for Windows Defender 0-day could allow attackers to fill hard disk (Ars Technica、2026年7月9日); RoguePlanet: Microsoft Defender zero-day (CybelAngel); Windows Defender 0-Day Exploit RoguePlanet (Cyber Security News)
雅子 訳

