Microsoft、ゼロデイ 脆弱性のRedSun(CVE-2026-41091)とUnDefend(CVE-2026-45498)の緊急パッチを公開・YellowKey(CVE-2026-45585)は「緩和策のみ」

セキュリティニュース

投稿日時: 更新日時:

Microsoft、ゼロデイ 脆弱性のRedSun(CVE-2026-41091)とUnDefend(CVE-2026-45498)の緊急パッチを公開・YellowKey(CVE-2026-45585)は「緩和策のみ」

2026年5月21日、Microsoftは公式リリースサイクル外(アウトオブバンド)で、Windows Defenderに影響する2件のゼロデイ脆弱性に対する緊急パッチを公開しました。これはセキュリティ研究者「Nightmare-Eclipse」(別名:Chaotic Eclipse)が4月から連続して公開してきた一連のゼロデイのうち、「RedSun」(CVE-2026-41091)「UnDefend」(CVE-2026-45498) に対するものです。

同日、Microsoftはさらに「YellowKey(CVE-2026-45585)」のBitLockerバイパスについても公式に脆弱性を認定し、完全なパッチの代わりに手動の緩和策ガイダンスを公開しています。

エンドポイントセキュリティ企業Huntressはパッチが存在しない状態でのRedSunとUnDefendの実際の攻撃への悪用を公式確認しており、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年5月20日に両CVEを既知の悪用脆弱性カタログ(KEV)に追加し、連邦政府機関に対して6月3日までのパッチ適用を命じています。

この記事のサマリー

RedSun・UnDefend(緊急パッチ公開・2026年5月21日)

  • RedSun → CVE-2026-41091(CVSS 7.8):Microsoft Malware Protection Engine(バージョン1.1.26030.3008以前)における「リンクフォロー」の脆弱性。低権限ユーザーがスキャン中にシンボリックリンク・ディレクトリジャンクションを操作してファイルへの書き込み先を変更し、SYSTEMレベルの権限昇格が可能。
  • UnDefend → CVE-2026-45498(CVSS 4.0):Defenderの署名更新パイプラインを標的としたDoS。署名更新をサイレントにブロックし続けることでDefenderの検知能力を段階的に低下させながら、管理コンソール上では「正常」と表示させることができる。
  • 修正バージョン:Microsoft Defender Antimalware Platform バージョン4.18.26040.7(Windows Update経由で自動配信済み)。
  • 同バージョンで修正される第3のCVE:CVE-2026-45584(CVSS 8.1)——Malware Protection Engineのヒープバッファオーバーフロー。ユーザー操作なしにリモートコード実行が可能。現時点では実攻撃での悪用は未確認。
  • Huntressが実攻撃を確認:パッチが存在しない状態(2026年4月10日以降)から実際の侵害での使用を確認済み。
  • CISA KEV追加:2026年5月20日付けで両CVEをKEVに追加。連邦機関への6月3日パッチ適用期限。
  • 攻撃チェーン:BlueHammer/RedSun(SYSTEM権限取得)→UnDefend(Defenderを無効化)の「多層劣化戦略」。

YellowKey(緩和策のみ・完全パッチなし)

  • CVE-2026-45585(CVSS 6.8):Windows回復環境(WinRE)を悪用したBitLockerセキュリティ機能バイパス。
  • 物理アクセスが前提:USBドライブを使用してシステムを回復モードで再起動。YellowKeyエクスプロイトに含まれるFsTxディレクトリがTransactional NTFSを通じてWinREのSystem32フォルダ内のwinpeshl.iniを削除→通常の回復環境の代わりにBitLockerがアンロックされた状態のコマンドプロンプトが起動。
  • 影響範囲:Windows 11およびWindows Server 2025(Windows 10は対象外)。
  • 現時点では実攻撃での悪用は未確認。Microsoftは「Exploitation More Likely(悪用の可能性が高い)」と評価。
  • 緩和策:①WinREイメージからautofstx.exeを削除(FsTx Auto Recovery Utilityの自動起動を防止)②TPMオンリー → TPM+PIN構成への変更 ③WinREの無効化。
  • 注意:Nightmare-Eclipseは「TPM+PINもバイパスできる別のPoCを保有しているが現時点では非公開」と述べている。

背景—Nightmare-Eclipseによる連続ゼロデイ開示の全体像

当サイトが既報の記事およびYellowKey・GreenPlasma記事で詳報した通り、Nightmare-Eclipseは2026年4月3日から6週間にわたりMicrosoftへの事前通知なしにWindowsの重大なゼロデイを連続公開してきました。今回の両Microsoftアドバイザリはその結果として発行されたものです。

名称 公開日 CVE CVSS 対象 パッチ状況
BlueHammer 2026年4月3日 CVE-2026-33825 7.8 Defender(権限昇格) ✅ 2026年4月14日Patch Tuesdayで修正済み
RedSun 2026年4月16日 CVE-2026-41091 7.8 Defender(権限昇格) 2026年5月21日アウトオブバンドで修正
UnDefend 2026年4月16日頃 CVE-2026-45498 4.0 Defender(DoS・更新ブロック) 2026年5月21日アウトオブバンドで修正
YellowKey 2026年5月12日 CVE-2026-45585 6.8 BitLocker(物理アクセス) ⚠️ 緩和策のみ・完全パッチなし
GreenPlasma 2026年5月12日 なし CTFMON(権限昇格) ❌ 未修正
MiniPlasma 2026年5月13日 CVE-2020-17103(再浮上) 7.0 cldflt.sys(権限昇格) ❌ 未修正(次回Patch Tuesday:2026年6月10日)

Nightmare-EclipseがこれらをMicrosoftへの事前通知なしに公開した理由として、同研究者はMicrosoftセキュリティレスポンスセンター(MSRC)との以前の脆弱性報告を巡る対応への不満を挙げています。MicrosoftはCVEのアドバイザリにBlueHammer・RedSun・UnDefendという名称を明記していませんが、Microsoft MVP・Fabian Bader氏がこれらが同一であることを確認しています(SecurityWeek)。

RedSun(CVE-2026-41091)の技術詳細

CVE-2026-41091はMicrosoft Malware Protection Engine(バージョン1.1.26030.3008以前)の「リンクフォロー(Link Following)」の脆弱性です。Defenderがファイルをスキャンする際にファイルへアクセスする前にシンボリックリンクまたはディレクトリジャンクションの解決を適切に処理しないため、低権限の攻撃者がスキャン中にこれを操作し、ファイルへの書き込み先を特権ディレクトリに変更してSYSTEMレベルの権限昇格が可能になります。

BlueHammer(CVE-2026-33825)のTOCTOU(Time-of-Check/Time-of-Use)レースコンディションを利用する手法と本質的に同様の「Defenderの修復ロジックをWeapon(武器)に変える」というコンセプトであり、Vectraが「多層劣化戦略(Layered Degradation Strategy)」と呼ぶ攻撃チェーンの第2段を形成します。

Microsoftのアドバイザリは「Defenderが無効化されているシステムは、Defenderのファイルがディスク上に残っていても悪用可能ではない」と明記しています。

UnDefend(CVE-2026-45498)の技術詳細

CVE-2026-45498はDefenderの署名更新パイプラインを標的とするDoS脆弱性です(CVSS 4.0)。スコアは低いものの、実際の被害は深刻です。Defenderの署名更新をサイレントにブロックし続けることでDefenderの検知能力を段階的に低下させながら、管理コンソール上では「正常」と表示させることができます。

Huntressの分析によれば、この脆弱性は攻撃チェーンの最終段として機能します。BlueHammerまたはRedSunでSYSTEM権限を取得した後にUnDefendを展開することで、後続のマルウェア・ランサムウェアのインストールをDefenderに検知させにくくする「防御の無力化」を狙います。SIEM・MDMのログ上でDefenderが「正常」と報告されているにもかかわらず、実際には署名が最新でない状態が長期間続く可能性があります。

CVE-2026-45584——同バージョンで修正される「第3の脆弱性」にも注意

同じMicrosoft Defender Antimalware Platform 4.18.26040.7の更新によってCVE-2026-41091・CVE-2026-45498に加え、CVE-2026-45584(CVSS 8.1)も修正されます。こちらはMalware Protection Engineのヒープバッファオーバーフローであり、ユーザーの操作なしにリモートコード実行(RCE)が可能という深刻な脆弱性です。現時点では実攻撃での悪用は確認されていませんが、CVSS 8.1という高いスコアからも同様に早急な適用が求められます。

YellowKey(CVE-2026-45585)の技術詳細

攻撃フロー

Step 1として、攻撃者がYellowKeyエクスプロイトを含むUSBドライブを準備します。Step 2として、物理的にアクセスできるWindowsマシンで起動を3回連続で中断し、WinRE(Windows回復環境)への起動を誘発します。Step 3として、USBドライブ上のFsTxディレクトリがTransactional NTFSのリプレイ機能を悪用し、WinRE内のSystem32フォルダにあるwinpeshl.ini(WinREの挙動を制御するファイル)を削除します。Step 4として、winpeshl.iniが削除されたWinREは通常の回復環境の代わりにBitLockerがアンロックされた状態のコマンドプロンプトを起動し、攻撃者は暗号化されたドライブのコンテンツに自由にアクセスできます。

「完全修正なし」の背景

MicrosoftはYellowKeyに対して完全なパッチではなく緩和策ガイダンスのみを発行しています。これはWinRE自体が「通常のOSが動作しないときに修復・リカバリを行うための強力な代替環境」として設計されており、その挙動の根本的な変更には慎重な対応が必要なためとみられます。

3つの緩和策

緩和策①(推奨)として、WinREイメージに変更を加えてautofstx.exeを削除します。

これによりFsTx Auto Recovery Utilityがwinin.iniを起動時に自動実行されなくなり、Transactional NTFSによるwinpeshl.iniの削除が発生しなくなります。

緩和策②として、BitLockerの構成をTPMオンリーからTPM+PIN(または起動キー)に変更します。これにより物理アクセスだけでは回復起動時にBitLockerのロックが解除されなくなります。緩和策③として、WinREを完全に無効化します(ただし回復機能が失われます)。

重要な追加注意点として、Nightmare-Eclipseは「TPM+PINを使用しても別の手法でバイパスできるPoCを保有しているが現時点では公開していない」と述べており(Help Net Security)、緩和策②が将来的に十分でない可能性があります。

組織が取るべき対応

Defender(RedSun・UnDefend・CVE-2026-45584)への対応

Windows UpdateによるDefender Platformの更新を確認してください。Microsoft Defender Antimalware Platformがバージョン4.18.26040.7以降になっていることを確認します。Defenderは通常Windows Updateと独立した自動更新を行いますが、エンタープライズ環境では更新が遅延している場合があります。

winmgmt /getstateやMicrosoftセキュリティポータル上でDefenderのバージョンを確認してください。またUnDefendの特性として管理コンソール上で「正常」と見せかけることができるため、Defenderの実際の署名更新が最新かどうかをエンドポイント単位で個別に確認することを推奨します。

CISA KEV対象のため、連邦機関は6月3日まで、その他の組織も優先的な適用を推奨します。

YellowKey(CVE-2026-45585)への対応

物理アクセスが前提のため、リモートワーク端末・社外持ち出し用ノートPC・共有端末・無人サーバーを持つ組織は特に対応を優先してください。緩和策①(autofstx.exeの削除)を優先的に適用し、合わせてTPM+PINへの移行を検討してください。

参考情報