Windows MiniPlasma ゼロデイ脆弱性、SYSTEM権限取得が可能に

新たなゼロデイ「MiniPlasma」の概念実証が公開

セキュリティ研究者のChaotic Eclipseが、Windowsの新たなゼロデイ脆弱性「MiniPlasma」を悪用する概念実証（PoC）を公開した。この脆弱性は、最新のアップデートが適用されたWindows 11システムにおいて、最高権限であるSYSTEM権限を攻撃者に与える可能性があるとされる。

2020年に修正されたはずの脆弱性が「復活」

注目すべきは、この脆弱性の経緯である。Chaotic Eclipseによると、MiniPlasmaは2020年に報告され、CVE-2020-17103として識別された脆弱性と「まったく同じ問題」だという。Microsoftは2020年12月のパッチでこれを修正したと発表していた。しかし研究者は、「Google Project ZeroがMicrosoftに報告した同一の問題が、未修正の状態で依然として存在していることが判明した」と主張している。修正が行われなかったのか、あるいはいつの間にか修正が取り消されたのかは不明だという。驚くべきことに、Googleが作成した当時のPoCが、変更なしに現在も動作するとのことだ。

専門家による動作確認

この報告を受け、技術メディアのBleepingComputerが検証を行った。2026年5月のパッチ火曜日の最新アップデートが適用されたWindows 11 Proシステムで、標準ユーザー権限のアカウントからPoCを実行したところ、SYSTEM権限を持つコマンドプロンプトが起動したと確認している。脆弱性解析の専門家であるWill Dormann氏も、最新の公開版Windows 11でExploitが動作することを確認した。ただし、最新のWindows 11 Insider Preview Canaryビルドではこの脆弱性は機能しないと指摘しており、Microsoftが内部的に対応を進めている可能性を示唆している。

技術的な背景と影響

この脆弱性は、Windows Cloud Filterドライバーが、ドキュメント化されていない「CfAbortHydration」APIを通じてレジストリキーを作成する処理を悪用しているとみられる。報告によると、この問題により、適切なアクセスチェックなしに.DEFAULTユーザーハイブ内に任意のレジストリキーを作成できてしまい、権限昇格につながる可能性がある。システムの最高権限を取得できることは、攻撃者にとってほぼ完全なシステム制御を意味し、マルウェアの恒久化やデータ窃取など、深刻なセキュリティリスクをもたらす。Microsoftが2020年に修正を発表したにもかかわらず、同一の脆弱性が6年以上にわたり再び悪用可能になっているという事実は、パッチ管理の信頼性に重大な疑問を投げかける。ユーザーは、Microsoftからの正式なセキュリティ更新が提供されるまでの間、不審なファイルの実行を避けるなど、通常以上の注意が必要となる。