インターネットの声

Windows Defenderパッチがディスク枯渇を招く脆弱性

Microsoftが公開したWindows Defenderのゼロデイ修正パッチが、新たな問題を引き起こしている。攻撃者にハードディスクを埋め尽くさせる可能性がある。

7分で読める SINGULISM 編集チームが確認・編集

Windows Defenderパッチがディスク枯渇を招く脆弱性
Photo by Ed Hardie on Unsplash

Dan Goodin が Ars Technica で報じた記事に基づく。Microsoft が先日公開した Windows Defender のゼロデイ脆弱性修正パッチが、新たなセキュリティ問題を生み出している。このパッチは、本来の脆弱性を修正する一方で、防御策として追加された機能が逆に攻撃者に悪用される可能性があると、脆弱性を発見した研究者が指摘した。

同脆弱性「RoguePlanet(CVE-2026-50656)」は6月に公表され、研究者 NightmareEclipse が攻撃コードとともに公開した。この脆弱性により、リアルタイム保護が無効化された状態でも、リモートの攻撃者が Windows 10 および Windows 11 マシンを管理者権限で制御できていた。Microsoft は水曜日、Microsoft Malware Protection Engine のアップデートで本脆弱性を修正したと発表し、パッチは自動的にダウンロード・インストールされると説明している。

しかし、木曜日に NightmareEclipse が公開した分析では、今回のパッチに含まれる「defense-in-depth(多層防御)」の更新が新たな問題を引き起こすことが明らかになった。同研究者によれば、防御強化のために追加されたコードが mpengine.dll に不具合を生じさせ、ファイルを開こうとする際に 8 バイトのデータ漏洩が発生するという。加えて、クラウドサービス「SpyNet」に新たに追加された機能が、ファイルの大規模書き込み動作に関与する。

Defender normally places hard limits on how big a file can be written to disk when scanning and quarantining a machine. “This implementation make [sic] sense, because quarantining a huge file will cause Defender to completely exhaust the available disk space,” the researcher wrote.

“I found a small exception to this rule, apparently the spynet functions in mpengine.dll really wants [sic] to keep a local copy of Zone.Identifier ADS file and it does not matter how big this file is, Windows Defender will cache it locally anyways.”

Zone.Identifier は、インターネットからダウンロードしたファイルやメールなど外部ソースから受信したファイルに Windows が自動で関連付ける隠しメタデータファイル(代替データストリーム)である。これにより Windows はファイルの送信元と適用すべきセキュリティゾーンを記録する。NightmareEclipse は、攻撃者が Server Message Block(SMB) プロトコルを使ってこの動作を誘発できると述べている。

この結果、Defender がディスク容量に無制限のファイルを書き込み、ハードディスクを完全に埋め尽くす可能性があるという。研究者は、本来 Defender は大きなファイルを検疫する際にディスク容量が枯渇するのを防ぐため、ファイルサイズに上限を設けているが、Zone.Identifier のキャッシュ動作には例外が存在したと説明している。

本件は、以前報じた Microsoft Defenderの特権昇格脆弱性「RoguePlanet」公開 の経緯を引き継ぐものである。同一の研究者が発見した脆弱性であり、Microsoft との対立は依然として解決していない。

編集部の見解

短期的には、このパッチを適用した組織は直ちにリスク評価を実施すべきである。攻撃者が SMB 経由で任意のファイルサイズを Defender に書き込ませ得るという事実は、単なるバグではなく、防御機構そのものが攻撃面を拡大した事例と言える。Microsoft が迅速に追加修正をリリースするか、管理者が手動で SpyNet 関連の機能を無効化する暫定対応を検討する必要がある。 長期的に見ると、本件はセキュリティ製品の複雑化がもたらすトレードオフを浮き彫りにした。多層防御という理念自体は正しいが、各層の相互作用を完全に検証できなければ、攻撃者に新たな経路を提供することになる。特に、クラウド連携機能(SpyNet など)がローカルでの予期せぬ動作を引き起こした点は、エンドポイントセキュリティ製品の設計思想自体を問い直す契機となる。 編集部として問いたい。Microsoft と匿名研究者の間の対立が長期化する中で、こうした脆弱性の開示プロセスは適切だったのか。研究者は即座に攻撃コードを公開し、Microsoft は防御策の導入で問題を複雑化させた。

参考

よくある質問

この脆弱性はどのような影響を与えるのか
攻撃者が SMB プロトコルを介して Zone.Identifier ファイルのサイズを無制限に拡大させることで、Windows Defender がディスク容量を大量消費し、システム全体のストレージを枯渇させる可能性がある。通常のファイル書き込み上限が適用されない例外が悪用される。
ユーザーはどのように対策すべきか
現時点で Microsoft から追加の修正は発表されていない。管理者は SpyNet 機能の有効・無効を検討するか、ファイルサーバーへの SMB アクセス制御を強化することが推奨される。ただし、SpyNet を無効化するとクラウドベースの脅威検知が低下するため、リスクバランスの評価が必要。
この研究者(NightmareEclipse)はなぜ脆弱性を公開したのか
同研究者は過去にも Microsoft 製品の脆弱性を攻撃コード付きで公開しており、Microsoft との間に深刻な対立がある。通常の責任ある開示プロセスを踏まず、即座に公開することで Microsoft に修正を強いるスタンスを取っている。
出典: Ars Technica

コメント

← トップへ戻る