Microsoftは、さまざまなエンタープライズ製品、コンポーネント、および基礎となるシステムに関連する3桁の脆弱性のバッチに対処しました。欠陥の数が多いにもかかわらず、ベンダーは今月のパッチチューズデイアップデートで、積極的に悪用されているゼロデイはないと報告しました。
Microsoftが公開した137個の脆弱性のうち13個は、Azureに影響を与える脆弱性のペアを含む重大なCVSSレーティングが割り当てられました — CVE-2026-33109およびCVE-2026-42823 — およびCVSSスコア9.9のCVE-2026-42898(Microsoft Dynamics 365内)。
同社は13個の脆弱性が悪用される可能性が高いものとして指定し、113個の欠陥が悪用される可能性が低い、または悪用されない可能性が高いものとして指定しました。
脆弱性の大量は、人工知能モデルがコードの以前に発見されていなかった欠陥を見つけるために展開されているため、研究者が予想してきた成長傾向を反映しています。
「これらのバグのすべてがAIによって見つかったわけではありませんが、少なくともAIが提出を作成するだけであっても、AI関連のコンポーネントが含まれている可能性があります」と、Trend MicroのZero Day Initiativeの脅威認識責任者であるDustin Childsは火曜日のブログ投稿に書きました。
Childsは特にCVE-2026-41096に興味を持ちました。これは彼が「厄介に見えるバグ」と説明したMicrosoft Windows DNSの脆弱性で、無許可の攻撃者がリモートでコードを実行できます。
「認証やユーザーインタラクションは不要であり、DNSクライアントはほぼすべてのWindowsマシンで実行されているため、攻撃面は非常に広いです。DNS応答に影響を与える立場にある攻撃者は、エンタープライズ全体にわたって認証されていないリモートコード実行を実現できます」と彼は付け加えました。
Childsはまた、CVE-2026-41089(無許可のリモート攻撃者がコードを実行できるWindows Netlogonの欠陥)を「即座にパッチが必要な最高の影響バグ」と説明し、「侵害されたドメインコントローラーは侵害されたドメイン」であると付け加えました。
Action1の脆弱性研究ディレクターであるJack Bicerは、Microsoft Dynamics 365に影響を与える重大な脆弱性であるCVE-2026-42898を指摘しました。
「ユーザーインタラクションが不要で、脆弱なコンポーネントの元のセキュリティ範囲を超えてシステムに影響を与える可能性があるため、この脆弱性は深刻なエンタープライズリスクをもたらします。基本的なアクセスのみを持つ攻撃者は、ビジネスアプリケーションサーバーをリモート実行プラットフォームに変えることができます」と彼はブログ投稿で述べました。
「Dynamics 365インフラストラクチャの侵害は、顧客レコード、運用ワークフロー、財務情報、および統合されたビジネスシステムを公開する可能性があります。CRM環境はしばしば識別サービス、データベース、およびエンタープライズアプリケーションと接続するため、成功した悪用により、より広い組織の侵害および運用の混乱が発生する可能性があります」とBicerは付け加えました。
今月対処された脆弱性の完全なリストは、Microsoftのセキュリティレスポンスセンターで利用可能です。
翻訳元: https://cyberscoop.com/microsoft-patch-tuesday-may-2026/
