Microsoft Defenderの脆弱性BlueHammer(CVE-2026-33825)がランサムウェア 攻撃に悪用

セキュリティニュース

投稿日時: 更新日時:

Microsoft Defenderの脆弱性BlueHammer(CVE-2026-33825)がランサムウェア 攻撃に悪用

2026年6月30日、米サイバーセキュリティ機関CISAは、Microsoft Defenderに存在する権限昇格(LPE)脆弱性「BlueHammer」(CVE-2026-33825)のKnown Exploited Vulnerabilities(KEV)カタログのエントリを更新し、ランサムウェアキャンペーンで悪用されていると明記しました。CVSSスコアは7.8(High)で、ローカルの低権限ユーザーがSYSTEM権限を取得できるというものです。同脆弱性は4月上旬に「Chaotic Eclipse」と名乗る研究者がMicrosoftのセキュリティレスポンスの対応に抗議して修正前にPoC(概念実証コード)を公開したため、パッチリリース前の段階からゼロデイとして悪用が始まっていました。Microsoftは4月14日のPatch TuesdayでCVE-2026-33825のパッチを提供していますが、適用が完了していない環境は今もランサムウェア攻撃の足がかりに使われるリスクが残っています。

サマリー

  • 2026年6月30日、CISAがCVE-2026-33825(BlueHammer)のKEVカタログエントリにランサムウェア悪用の記載を追加。悪用しているグループの特定はできていない
  • BlueHammerはMicrosoft Defenderの脅威修復エンジンにあるTOCTOU(Time-of-Check to Time-of-Use)競合状態を悪用し、ローカルの低権限ユーザーがSYSTEM権限を取得できるLPE脆弱性(CVSS 7.8)
  • 研究者「Chaotic Eclipse(Nightmare Eclipse)」がMicrosoftのセキュリティ脆弱性開示プロセスへの抗議としてパッチリリース前にPoCをGitHubへ公開。HuntressはPatch Tuesday(4月14日)前から実際の攻撃を観測していた
  • パッチは4月14日のMicrosoft Patch Tuesdayで提供済み。CISAはFCEB機関へ5月7日を期限に適用を命令したが、Microsoftのアドバイザリは依然として野生での悪用を公式に認めていない
  • Defenderはサイレント更新されるため脆弱性スキャナーが検知できないケースがある。Fleet等の管理ツールでCVE-2026-33825を検出できていない環境が存在する
  • BlueHammerと同じ研究者が開示したRedSun(Defender云タグファイル悪用)とUnDefend(署名更新のサイレント妨害)の2件はパッチが未提供の可能性がある
項目 内容
CVE番号 CVE-2026-33825
通称 BlueHammer
CVSSスコア 7.8(High)
脆弱性の種別 ローカル権限昇格(LPE)
対象コンポーネント Microsoft Defender Antimalware Platform
影響OS Windows 10・Windows 11(全サポートバージョン)・Windows Server 2016〜2025
攻撃条件 認証済みのローカルユーザー(低権限)が必要
攻撃結果 SYSTEM権限取得・SAMデータベースアクセス
PoCの公開 4月上旬(Chaotic Eclipse / GitHub、パッチリリース前)
パッチリリース 2026年4月14日(April Patch Tuesday)
CISAのKEV初登録 2026年4月22日
CISAのKEVランサムウェア追記 2026年6月30日
FCEB機関の適用期限 2026年5月7日
ゼロデイ悪用の確認 Huntress(パッチリリース前)
ランサムウェアグループの特定 なし(公表時点)

Chaotic EclipseによるMSRCへの抗議的開示とBlueHammerの誕生

今回の脆弱性が通常の開示ケースと大きく異なるのは、研究者側とベンダー側の関係が破綻したかたちで公開に至った点です。「Chaotic Eclipse」および「Nightmare Eclipse」という名で活動する研究者は、Microsoftのセキュリティレスポンスセンター(MSRC)が脆弱性の報告に対して動画での実証を要求するなど異例の手続きを課し、報告者への対応が著しく不誠実だったと主張しています。こうした背景から、Microsoftがパッチを用意する前にPoC exploit codeをGitHubで一般公開するという異例の選択をとりました。

この研究者が4月上旬の13日間に公開したDefender関連のゼロデイはBlueHammerだけではありません。BlueHammer(CVE-2026-33825)と並んで、RedSunとUnDefendという合計3件の脆弱性が連続して公開されました。いずれもMicrosoftによる公式パッチが存在しない真のゼロデイとして公開された点が事態を深刻にしました。Huntressの研究者は、3件すべてが実際の攻撃ターゲットのエンドポイントで観測されたと報告しています。

当サイトでも解説したように、Defenderの脆弱性が2026年に相次いで公開される状況が続いており、今回のBlueHammerはその流れの中で位置づけられます。

脆弱性の仕組み-TOCTOUとNTFSジャンクションポイントの悪用

BlueHammerの根本原因は、Microsoft Defenderの脅威修復エンジンにおけるTime-of-Check to Time-of-Use(TOCTOU)競合状態です。Microsoftのアドバイザリは「Microsoft Defenderにおけるアクセス制御の粒度不足により、認証済みの攻撃者がローカルで権限昇格できる」と説明しています。Picus Securityが公開した技術分析によれば、攻撃の流れは次のとおりです。

まず攻撃者がDefenderの検知を引き起こすファイルを設置します。Defenderのリアルタイムプロテクションエンジンがそのファイルをマルウェアと判定して修復処理を開始すると、エクスプロイトはバッチoplock(opportunistic lock)を使ってDefenderのファイル操作を特定のタイミングで一時停止させます。この間に、攻撃者はNTFSジャンクションポイント(ディレクトリシンボリックリンクの一種)を作成し、Defenderが操作しようとしているターゲットパスを攻撃者の一時ディレクトリからC:\Windows\System32へリダイレクトします。DefenderはSYSTEM権限で特権的な書き込みを行いますが、その書き込み先がすり替えられた結果、攻撃者はSystem32への書き込み権限を事実上獲得します。

Tharros社の主任脆弱性アナリストであるWill Dormann氏はBleepingComputerの取材に対して、「この時点で攻撃者はシステムを事実上掌握し、SYSTEM権限のシェルを立ち上げるなど何でもできる状態になる。さらに、SAM(Security Account Manager)データベースへのアクセスも得られる」と述べています。SAMはローカルアカウントのパスワードハッシュを格納するデータベースであり、そこから取得したハッシュをオフラインで解析したり、Pass-the-Hash攻撃に転用することで、ネットワーク内の他のシステムへの横展開を図ることができます。

ゼロデイとして悪用が始まったあとのタイムライン

Huntressの研究チームは、BlueHammerがMicrosoftのPatch Tuesdayより前から実際の攻撃に使われていたことを確認しています。悪用のタイミングとしては少なくとも4月10日以降とされており、GitHubにPoCが公開されてからわずか数日後には攻撃者がそれを実際の侵入に転用していたことになります。

BlueHammer単体の観測とは別に、RedSunとUnDefendについてはより具体的な攻撃の様子が報告されています。SSLVPNアカウントが乗っ取られた被害組織のWindowsデバイス上で3件すべてのエクスプロイトが確認され、攻撃者はマルウェアを使わず手動でコマンドを入力しながら内部偵察を進めていました。whoami /privcmdkey /listnet groupといった標準的な権限確認コマンドを実行する人間主導の攻撃手法で、Huntressはこの組織のネットワークからの分離を即座に実施して攻撃を食い止めたとしています。

4月14日にMicrosoftが163件の脆弱性を修正した4月Patch TuesdayでCVE-2026-33825に対するパッチが提供されました。Defenderの更新はWindows Updateを通じて自動的に配布されるため、多くの環境でユーザーが意識することなく修正が適用される仕組みです。4月22日にCISAがBlueHammerをKEVカタログに追加し、連邦政府機関(FCEB)に対して5月7日までの適用を命じました。

CISAのKEVカタログ更新とランサムウェア悪用記載のプロセス上の問題

6月30日のCISAによるKEVカタログの更新は、CVE-2026-33825がランサムウェアキャンペーンにも使用されていることを示す新たな記録を追加したものです。ただし、CISAはどのランサムウェアグループがこの脆弱性を悪用しているかを明らかにしていません。SecurityWeekの報道によれば、具体的な悪用活動を説明する最近の公開レポートは現時点では確認されていないとのことです。

ここで注目すべき運用上の問題があります。CISAのKEVカタログは新しい脆弱性が追加された際には通知を出しますが、すでにカタログに収録されている脆弱性のランサムウェア悪用欄が更新されてもユーザーへの通知が行われない仕組みになっているとSecurityWeekは指摘しています。つまりKEVに登録されたからといってその後のエントリ更新を自動で把握できるわけではなく、防御側が脆弱性の現状を追跡しようとすると能動的にカタログの変更を確認し続ける必要があります。この可視性のギャップを埋めるため、GreyNoiseは当該変更を追跡できる無料ツールを今年公開しています。

また当サイトで解説したSplunk EnterpriseのCVE-2026-20253の事例でも示されたとおり、KEVカタログへの登録はパッチ適用の優先度を判断する上で重要な指標ですが、カタログの動的な変更に追随するプロセスをセキュリティ運用に組み込んでおくことが今後ますます重要になります。

脆弱性スキャナーでは検知できないDefenderの盲点

CVE-2026-33825が情報システム部門にとって対応しにくい理由の一つは、多くの脆弱性管理ツールがMicrosoft DefenderのCVEを正確に検知できていない点にあります。Fleetのエンジニアリングチームが公開した内部Issueには、CVE-2026-33825がその典型例として挙げられています。

Defenderの問題は大きく二点あります。まずMicrosoftはDefenderのCVEを通常のWindowsとは異なる別のMSRCパイプラインで管理しており、NVDのCPEマッチングと合致しない形式になっています。次にDefenderはWindows Updateを通じてサイレントに更新されるため、ホストの標準的なソフトウェアインベントリに表示されません。この二つが重なった結果、多くの脆弱性スキャナーが「既知の脆弱性なし」と報告しながら実際にはCVE-2026-33825に対して脆弱な状態のホストが存在するという盲点が生じています。

この問題への対処としては、Microsoftが提供するMicrosoft Defender Antimalware Platformのバージョン番号を直接確認する方法が有効です。CVE-2026-33825に対するパッチが含まれるバージョンを確認し、管理下の全エンドポイントで適用済みかどうかをMS既存の管理コンソール(Intune・Endpoint Manager等)から確認することを推奨します。

BlueHammerと連鎖するDefenderのゼロデイ-RedSunとUnDefend

BlueHammerが修正された一方で、Chaotic Eclipseが同時期に公開したRedSunとUnDefendは2026年4月中旬の時点でパッチが未提供とされており、それぞれの現状についての確認が必要です。

RedSunはDefenderのクラウドタグ付きファイルのロールバック機構を悪用するLPEで、細工されたファイルにCloud Files APIでプレースホルダーを設定した後、BlueHammerと同様のoplock+NTFSジャンクションの組み合わせでDefenderの書き込み先をC:\Windows\System32\TieringEngineService.exeにリダイレクトします。BlueHammerが修正済みの環境でも権限昇格が可能な別経路であり、Windows 10・11・Server 2016以降でDefenderが有効な環境が対象とされています。

UnDefendはさらに性質が異なり、Defenderの署名更新パイプラインをブロックしながら管理コンソールには正常と表示させ続けることでDefenderの検知能力を静かに低下させます。BlueHammerやRedSunでSYSTEM権限を取得した後にUnDefendを使ってDefenderを無力化するというチェーン攻撃が想定されており、Huntressの研究チームも「3つのエクスプロイトは独立した問題ではなくチェーンとして理解すべき」と指摘しています。

当サイトで解説したEDRキラーを使うThe Gentlemenランサムウェアのようなケースとも重なりますが、防御機能そのものを攻撃対象にしたうえでランサムウェアを展開するという攻撃パターンが定着しつつある点は情報システム部門として頭に入れておく必要があります。

情報システム部門への対応

まずBlueHammerのパッチ適用状況を確認することが最優先です。Microsoft Defender Antimalware Platform(MsMpEng.exe)が4月14日以降のバージョンに更新されているかどうかを、IntuneやMicrosoft Endpoint Configuration Managerを通じて全社の端末で確認してください。Defenderは自動更新されていることが多いですが、ネットワークから切り離された端末やアップデートが意図せずブロックされている端末は見落としがちです。

次にKEVカタログの変更を追跡するプロセスを整備することを検討してください。今回のようにCISAが既存エントリを更新してもアラートが飛ばない問題は、KEVに関心を持つ組織が見落とすリスクを生みます。GreyNoiseのKEV変更追跡ツールや、CISAが提供するKEVのJSONフィードを定期的に差分確認する運用を組み込むことで、ランサムウェア悪用の追記という重要な変化を見逃さない体制を作れます。

権限昇格の検知という観点では、BlueHammerはネットワーク経由の侵入ではなくローカルの認証済みユーザーが前提となります。つまり、何らかのかたちで初期侵入を許した後にSYSTEM権限を取得する二段目の攻撃として使われる脆弱性です。エンドポイントのテレメトリとして、whoami /privの実行・SAMデータベースへの不審なアクセス・Defenderサービスの停止や設定変更・不審なプロセス系譜という4点を検出ルールに組み込むことで、BlueHammerを経由した権限昇格の痕跡を追うことができます。

LockBitをはじめとするランサムウェアグループの戦術RaaS(Ransomware-as-a-Service)のエコシステムの分析からも明らかなとおり、現代のランサムウェア攻撃者は初期侵入後の権限昇格と防御機能の無力化を体系的に組み合わせています。Defenderという防御ツールそのものがLPEの踏み台になり得るという今回の事例は、エンドポイントセキュリティ製品を「信頼できるもの」として前提置きしてきた設計の見直しを促すものといえます。

出典

当サイト関連記事: