Dynamics 365オンプレミスの管理者も、リモートコード実行を可能にする「重大な」脆弱性に注意する必要があります。
Windows Serverのネットワークおよびアイデンティティインフラストラクチャの重大な脆弱性、ならびにMicrosoft Dynamics 365オンプレミス版の深刻な欠陥は、Microsoftの5月のPatch Tuesdayの修正を強調しています。
これらは、同社が今月特定した118の脆弱性の中にあります。AzureやMicrosoft Teamsなどのクラウドベースのサービスの一部については既に修正されているため、管理者による対応は不要です。
しかし、CSOが注意を払う必要がある最も深刻なものの中には、Windows Netlogonサービスのまた別の欠陥があります。CVE-2026-41089は、CVSSスコアが9.8で、悪用されるのに認証やユーザー操作は必要ありません。
Netlogonの脆弱性は少なくとも2020年にさかのぼり、その時にZerologonという名前の脆弱性が発見されました。2025年、Microsoftはサービス妨害の脆弱性を修正しました。この脆弱性では、リモートの認証されていないユーザーが一連のNetlogonベースのリモートプロシージャコールを実行して、ドメインコントローラーのすべてのメモリを消費させることができます。
「Netlogonの脆弱性はドメインコントローラーとアイデンティティインフラストラクチャに直接影響を与え、」Action1の脆弱性研究ディレクターであるJack Bicer氏はCSOに語りました。「ドメインレベルの侵害、認証情報の盗難、ランサムウェアの展開、および運用障害のリスクが生じます。」
この脆弱性は2016年まで遡るWindows Serverバージョンに影響を与える可能性があります。
もう1つの重大な脆弱性は、Windows ServerのDNSクライアント内にあります。CVE-2026-41096は、同じくCVSSスコアが9.8で、特別に作成されたDNS応答を通じてリモートコード実行を許可する可能性があります。Bicer氏は、これはエンタープライズネットワーク全体での広範なエンドポイント侵害の可能性を生み出すと述べています。
「Microsoftは現在、悪用の可能性は低いと評価していますが、」と同氏は述べています。「DNSおよびActive Directoryサービスの戦略的重要性により、パッチの適用遅延に関連する組織的なリスクが大幅に増加します。」
Ivantiの製品管理VP、Chris Goettl氏は、静的分析の観点から、これら2つの脆弱性は「確実に脅威行為者にとって良い機会に見えます。脆弱性は現在のところ悪用されたり、公に開示されたりしていませんが、組織はOS更新をタイムリーに優先することを確認する必要があります。」と述べています。
同氏は「ネットワークセグメンテーション、アクセス制限、監視による追加の保護層は、エンタープライズ内のエクスポージャーを制限する必要があります。とはいえ、これらの脆弱性は存在しています。N-dayエクスプロイトの平均時間は現在約5日です。組織は、近い将来のエクスプロイトの場合に備えてそのエクスポージャーウィンドウを短縮するために、残りのインフラストラクチャよりも先にインフラストラクチャの重要な部分を優先することを選択することができます。」と付け加えました。
Dynamics 365の深刻な欠陥
今月最も深刻な問題はBicer氏によると、CVE-2026-42898はMicrosoft Dynamics 365オンプレミスに影響を与えています。CVSSスコアが9.9のリモートコード実行の脆弱性で、低い権限を持つ認証された攻撃者が操作されたプロセスセッションデータを通じてリモートで任意のコードを実行することを許可します。
「Dynamics 365環境はアイデンティティプロバイダー、金融システム、運用ビジネスワークフローと統合されることが多いため、これらのプラットフォームの侵害はより広いエンタープライズ侵害へと急速に拡大する可能性があります。」とBicer氏は述べています。「顧客関係管理インフラストラクチャを運用している組織は、運用上の中断と機密ビジネスレコードへの不正アクセスのリスクを軽減するために、直ちに修復を優先する必要があります。」
SSOプラグインの欠陥
TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏は、AtlassianのJiraプロジェクト管理とConfluenceコラボレーションスイート用のMicrosoftのシングルサインオン(SSO)プラグイン内の重大な権限昇格の脆弱性に注目しました(CVE-2026-41103)。ログインプロセス中に、攻撃者はこの欠陥を悪用するために特別に作成された応答メッセージを送信することができます。悪用により、攻撃者はMicrosoft Entra ID認証なしに、偽造されたアイデンティティを使用してサインインすることができます。
これにより、攻撃者はJiraまたはConfluenceのデータにアクセスまたは変更できるようになります。同氏はこれを、多くの組織にとって機密情報の豊富な情報源として説明しています。しかし、Narang氏は指摘しています。アクセス可能な情報は、対象のサーバーによって定義されたアクセスによって制限されるでしょう。
FortraのセキュリティR&DアソシエイトディレクターであるTyler Reguly氏は、ConfluenceとJiraを担当する管理者が、Microsoftの製品を担当する人々と同じではない可能性があるため、この脆弱性のクロスオーバーは完全に見落とされる可能性があることに注目しています。CSOはこれについてチームの上に留意する必要があると、彼は助言しました。
重大な非CVE更新
Rain Baker氏は、Nightwingの際ShadowScoutチームのシニアインシデント対応スペシャリストは、最も重大な非CVE更新には、更新されたセキュアブートサーティフィケートの強制的なロールアウトが関連していることを指摘しました。6月26日の期限前にこれらの更新を受け取らないデバイスは、「壊滅的なブートレベルのセキュリティ障害」または低下したセキュリティ状態に直面する可能性があると、同氏は述べています。
「6月26日前に、フロート全体が新しいトラストアンカーに正常にローテーションすることを確認してください。」と彼は述べています。「Windows ShellおよびMicrosoft Defenderバイパス欠陥の先月のリリースをまだパッチしていない方は、セキュリティチームがこれに最優先順位を与えることが必須です。」
SAPパッチとOracleの更新
SAPは2つのHotNewsノート、2つの高優先度ノート、および12の中程度優先度ノートを発行しました。
HotNewsノートの1つは#3724838(またCVE-2026-34260でもあり、CVSSスコアは9.6)です。SAP S/4HANAのエンタープライズサーチのABAP内のSQL注入の脆弱性をパッチしています。Onapsis研究者は、不適切または欠落した入力検証とサニタイゼーションのため、認証された攻撃者がユーザーが制御できる入力を通じて悪意のあるSQL文を注入でき、アプリケーションの機密性と可用性に大きな影響を与えることができると述べています。「幸いなことに、」Onapsis氏は「影響を受けるソースコードはデータへの読み取りアクセスのみを許可しているため、整合性は影響を受けません。」
それでも、Jonathan Stross氏はPathlockのSAPセキュリティアナリストで、エンタープライズサーチのABAPを実行している場合「これは月の最も重要な技術的脆弱性です。これにより、低い権限を持つ認証された攻撃者がユーザーが制御できる入力を通じて悪意のあるSQLを注入でき、機密データベース情報を露出させ、アプリケーションをクラッシュさせる可能性があります。」と述べています。
同氏はまた、財務、調達、サプライチェーン、またはHR関連プロセス全体でS/4HANAを使用している組織は、これを緊急の修復アイテムとして扱うべきだと付け加えました。
SAPは回避策がないと述べており、Stross氏が指摘しているように、修復は参照された修正指示またはサポートパッケージの実装に依存しています。
もう1つのHotNewsノートは#3733064で、CVSSスコアは9.6で、SAP Commerce Cloudの認証チェック欠落の脆弱性をパッチしています。Onapsis氏は、脆弱性が過度に許可的なセキュリティ設定と不適切なルールの順序によって引き起こされ、認証されていないユーザーが悪意のある設定アップロードとコード注入を実行でき、任意のサーバー側コード実行につながると述べています。
「これは月の最も高いビジネスリスク項目の1つです。」とStross氏は述べています。「Commerce Cloud環境はしばしば内部企業ネットワークを超えて公開されています。成功した悪用は、店頭の可用性、顧客データ、注文フロー、価格ロジック、統合、およびコマースプラットフォームへの信頼に影響を与える可能性があります。」
最後に、Oracleの管理者は、同社が月次セキュリティパッチの発行に切り替えていることに注意する必要があります。最初は5月28日で、その月の第4木曜日です。しかし、その後、パッチは毎月の第3火曜日に発行されます。
