セキュリティ研究者のChaotic Eclipse(別名:Nightmare-Eclipse)氏は、Microsoft Defenderに新たな脆弱性を発見した。この脆弱性を悪用すると、攻撃者がWindows 11やWindows Server 2025のディスク容量を完全に消費できる可能性がある。同氏は過去にもMicrosoft Defenderの脆弱性「RoguePlanet」を発見しており、今回の脆弱性はその修正プログラムを調査中に見つけたものだ。
RoguePlanet修正後の新たな問題
Microsoftは7月8日、権限昇格の脆弱性「RoguePlanet」を修正する更新プログラムをリリースした。この更新により、Microsoft Malware Protection Engineはバージョン1.1.26060.3008にアップデートされた。しかし、このアップデートを調査したChaotic Eclipse氏は、新たに2つの問題を発見した。1つは「特定の状況下で情報漏洩する不具合」で、現在有効なエクスプロイトを開発中とされる。もう1つが今回報告された脆弱性で、Microsoft Defenderのファイルサイズ処理の不備を突く攻撃手法である。
ディスク容量を枯渇させる仕組み
Microsoft Defenderを含む主要なセキュリティソリューションは、不正なファイルを検出すると自動的に隔離する。この隔離処理では、巨大なファイルによるストレージの過剰消費を防ぐため、ファイルサイズに上限が設定されている。しかし研究者によると、このサイズチェックはNTFSの代替データストリーム(ADS)に記録されるゾーン識別子には適用されない。Microsoft Defenderは隔離時にゾーン識別子をローカルキャッシュするため、巨大なゾーン識別子を準備することでストレージを大量に消費できる。
通常、ゾーン識別子と一時キャッシュファイルは隔離後に削除されるため、ディスク容量は解放される。そこで研究者は、巨大なゾーン識別子をロックするエクスプロイトを開発した。具体的には、巨大なゾーン識別子を持つ悪意のあるファイルをSMBサーバ上に配置し、ファイルの読み取りを故意にブロック(無視)して接続を維持する特殊なサーバを構築する。
攻撃の流れと実証
ユーザーがこのSMBサーバに接続すると、Microsoft Defenderが悪意のあるファイルを検出し、ファイルとゾーン識別子の隔離を試みる。しかし、ゾーン識別子の隔離のみ進行し、ファイルは読み取れないため隔離が完了しない。この結果、Defenderの隔離処理はキャッシュしたゾーン識別子を保持したまま停止し、ディスク容量が解放されなくなる。
研究者はWindows 11バージョン25H2およびWindows Server 2025で問題の再現に成功し、SMBサーバにアクセスさせることでストレージ全体を完全に消費できると明らかにした。この結果はPNC Blogで発表されている。
現時点でのリスク評価
このエクスプロイトには実用上の課題が残る。悪意のあるSMBサーバにアクセスする際、Windowsは認証を求めるため、ユーザーが気付く可能性が高い。また、この攻撃はサービス運用妨害(DoS)に相当し、ソーシャルエンジニアリング攻撃との併用には適さない。研究者はWebDAVの利用で回避できる可能性を示唆したが、実験では成功しなかったという。
現時点では即座に悪用される可能性は低いとみられるが、Microsoft Defenderの利用者は見覚えのないSMBサーバやネットワークドライブへの接続要求には応じないことが推奨される。



