出典:Andrii Yalanskyi via Shutterstock
ほぼ2年間で初めて、マイクロソフトの月次セキュリティアップデートには、積極的に悪用されているゼロデイ脆弱性や以前に公開されていた欠陥が含まれていませんでした。
しかし、この歓迎すべき一息つく時間は別として、マイクロソフトの2026年5月アップデートは137個のCVEの修正を含んでいました。そのうち13個はマイクロソフトが悪用の可能性が高い候補と考えており、9個は重大と評価されています。これらには、プレビューペインが攻撃ベクトルであるMicrosoft Office Wordの2つのバグと、10ポイントCVSSスケールで9.8または9.9の近い最大重大度スコアを持つ5つの他のバグが含まれています。
2026年のCVE500個とカウント中
これは今年3番目の月で、マイクロソフトはパッチチューズデーアップデートで100を超えるCVEを公開しています。5月を通じて、同社はすでに500を超えるCVEにパッチを当てており、これは2020年にマイクロソフトが公開した1,245個のバグの年間記録を超えるペースに乗っている、とテナブルのシニアスタッフリサーチエンジニアであるSatnam Naranagが述べています。
マイクロソフトのエンジニアリング部門のバイスプレジデントであるトム・ガラハーによると、AIが研究者が以前よりも多くの脆弱性を発見するのに役立つことで、大規模なリリースが間もなく標準になる可能性があります。AIが研究者が以前よりも多くの脆弱性を発見するのに役立つことです。「今月のリリースはホットパッチ月のより大きな側に位置しており、今後のリリースがしばらくの間より大きな傾向を続けると予想しています」とガラハーはブログ投稿で述べています。「高度なAIモデルは発見の過程の一部であり、それを加速するのに役立ちます。それらにより、手動レビューだけでは不可能な速度と一貫性でコードパスと構成について推論することができます。」
マイクロソフトの最新アップデートのプレビューペイン攻撃ベクトルを備えた2つのMicrosoft Office Word脆弱性はCVE-2026-40361(CVSS 8.4)およびCVE-2026-40364 (CVSS 8.4)です。前者はメモリ関連の脆弱性で、リモート攻撃者が脆弱なシステムでローカルにコードを実行できるようにします。CVE-2026-40464も型混乱の問題に起因するリモートコード実行(RCE)バグです。どちらの脆弱性も任意のユーザーインタラクションを必要としません。攻撃者は悪意のあるドキュメントを送信するだけでフローを引き起こすことができます。「Outlookの読み取りペインは長い間一般的な攻撃ベクトルでした。単一の受信メールはユーザーがそれを開くことなく搾取を引き起こすことができます」とCohesityのセキュリティリサーチの責任者であるAmol Sarwateは声明で警告しています。
9つのほぼ最大重大度脆弱性
5月のアップデートの9つの脆弱性の中で、重大度スコアが9.0以上のもの—最近のマイクロソフトパッチチューズデーリリースではまれです—CVSSスケールで10点中9.9のほぼ最大評価を持つ3つがあります:CVE-2026-42898、CVE-2026-42823、およびCVE-2026-33109。
このうち、CVE-2026-42898、Microsoft Dynamics 365 On-premisesのRCEは、最も差し迫っています。コードインジェクションフローは、認証されたリモート攻撃者が任意のコードを実行できるようにします。攻撃者が攻撃を悪用するためにadmin権限や他の昇格された権限を必要としませんが、マイクロソフト自体は、このフローを攻撃者が悪用する可能性が低いものとして分類しています。
しかし、Action1の脆弱性リサーチディレクターであるJack Bicerは、組織がとにかくすぐにパッチを当てることを推奨しています。「ユーザーインタラクションが不要で、脆弱なコンポーネントの元のセキュリティスコープを超えてシステムに影響を与える可能性があるため、この脆弱性は深刻なエンタープライズリスクをもたらします」と彼はメールコメントで述べています。この脆弱性を成功裏に悪用する攻撃者は、顧客レコード、運用ワークフロー、財務情報、および統合されたビジネスシステムにアクセスできる、と彼は説明しました。「CRM環境はしばしばアイデンティティサービス、データベース、およびエンタープライズアプリケーションと接続されているため、成功した搾取はより広い組織的な妥協と運用の中断につながる可能性があります。」
9.9の重大度スコアを持つ他の2つのバグはAzureに影響します。 CVE-2026-42823 はAzure Logic Appsの権限昇格の脆弱性です。マイクロソフトによると、このフローに影響を受ける場合は、同社はAzure Service Health通知を通じて組織に通知し、特定の軽減アドバイスを提供します。 CVE-2026-33109 はApache Cassandraに影響するAzure Managed Instanceを対象としたRCEです。マイクロソフトがすでに完全に軽減しているため、ユーザーはこのフローに対処するために何もする必要はありません。「このサービスのユーザーが取るべき行動はありません。このCVEの目的はさらなる透明性を提供することです」とマイクロソフトは述べました。
重大なNetlogonバグは優先パッチが必要
AutomoxのセキュリティリサーチャーであるJason Kikta はCVE-2026-41089,Windows NetlogonのRCEを強調しており、これは組織が優先すべき別のフローです。「攻撃者はドメインコントローラーに作成されたネットワークリクエストを送信します。認証は不要です。ユーザーインタラクションは不要です。あなたがこれを十分に長く行っている場合、説明言語は悲しいほど熟悉しています」とKitkaは準備されたコメントで述べています。組織は、彼は助言しました、彼らのドメインコントローラーの全体的なNetlogonサービスで予期しないクラッシュやサービス再起動に目を光らせるべきです。また、特に奇形リクエスト、認証失敗、またはドメインコントローラーを打つ疑わしいネットワークアクティビティの直後のドメイン信頼エラーなど、非ドメインコントローラーソースアドレスからの異常なNetlogonトラフィックパターンを監視する必要があります。
CopilotとAzure AI Foundryに影響する合計7つのCVEは、組織がAIツールから直面する増加する曝露を強調しました、とFortraのセキュリティR&Dの准ディレクターであるタイラー・レグゥリは付け加えました。「AIのすべての使用をご存知ですか?」と彼はメールステートメントで質問し、今月のCVEの6%はAIベースであることを付け加えました。「その数がここからのみ増加することを知っています」と彼は注記しました。「マイクロソフトのような定期的なアップデートスケジュールに支援されていない、あなたの組織で使用中であるAIの他のインスタンスは何ですか?」
最新のDark Reading Confidentialポッドキャストを見逃さないでください、 「USBペネトレーションテストのストーリーがどのようにバイラルになったか」。20年前、Dark Readingはその最初のブロックバスター記事を投稿しました—ペンテスターの列は、信用組合の駐車場の周りにリグされた親指ドライブを散りばめて、好奇心の強い従業員が残りをするようにしました。このエピソードは、著者スティーブ・スタシューコニスと一緒に、歴史的な作品を振り返ります。 今すぐお聞きください!
翻訳元: https://www.darkreading.com/application-security/patch-tuesday-microsoft-zero-day-sight
