Microsoftは5月のPatch Tuesdayで120のCVEを修正するセキュリティアップデートを公開しました。そのうち16は新しいマルチモデルエージェントセキュリティシステムによって発見されました。
全体のリストには17の重大な脆弱性が含まれており、そのうち14はリモートコード実行(RCE)に分類され、2つは権限昇格(EoP)の欠陥、1つは情報開示脆弱性でした。
合計で、リストされた120のCVEの大多数はEoP(61)、RCE(31)、情報開示(14)でした。
Patch Tuesdayについてもっと読む: Microsoftが4月のPatch Tuesdayで2つのゼロデイを修正
Rapid7の主任ソフトウェアエンジニアであるAdam Barnettは、「ドメインコントローラーのセキュリティ保護に責任を持つすべての人」に対してCVE-2026-41089の修復を優先するよう促しました。
これはWindows Netlogonにおけるスタックベースのバッファオーバーフローであり、CVSS v3基本スコアが9.8で、攻撃者にドメインコントローラー上のシステム権限を与える可能性があると、Barnettは警告しました。
「ほとんどのペネトレーターにとって、それはカスタマーレポートがほぼ自分で書かれる地点です」と彼は続けました。「権限またはユーザー操作は必要なく、攻撃の複雑さは低いため、特定のメカニズムについての知識を持つ誰もが信頼性の高いエクスプロイトを作成することは特に難しくない可能性があります。」
システム管理者にとって同様に重要なのはCVE-2026-41096です。これはWindows DNSクライアント実装における重大なRCEで、CVSSスコアは9.8です。
「DNSはエンタープライズ環境全体で使用されるコアネットワーキングサービスであるため、悪用により多数のシステムに急速に影響を与える可能性があります」と、Action1の脆弱性研究ディレクターであるJack Bicerは警告しました。「成功した攻撃は、企業ネットワーク全体にわたるエンドポイント侵害、ランサムウェアの展開、認証情報の収集、および運用の中断につながる可能性があります。」
Bicerはまた、Microsoft Dynamics 365 On-PremisesにおけるRCEバグであるCVE-2026-42898を指摘しました。低い権限を持つ認証された攻撃者がDynamics CRM内のプロセスセッションデータを操作してネットワーク上で悪意のあるコードを実行することを許可する可能性があります。
「ユーザー操作が必要なく、脆弱なコンポーネントの元のセキュリティスコープを超えてシステムに影響を与える可能性があり、この脆弱性は深刻なエンタープライズリスクをもたらします」と彼は続けました。「基本的なアクセス権のみを持つ攻撃者は、ビジネスアプリケーションサーバーをリモート実行プラットフォームに変えることができます。」
AI駆動型脆弱性研究の利点
Rapid7のBarnettは、MicrosoftのWindows Attack Research and Protection(WARP)チームが複数の重大な脆弱性で信用されていると指摘しました。「彼らはおそらくMicrosoftの製品に適用されるAI駆動型脆弱性研究の現在の状態についてよく知っていると推測できます」と彼は提唱しました。
Microsoftは5月12日に公開されたブログポストで、WARPが同社の自律コードセキュリティ(ACS)とどのようにこの月のPatch Tuesdayに記載されている16のCVEを発見した新しいエージェントAIイニシアティブで協力したかを説明しました。
MicrosoftのエージェントセキュリティのVPであるTaesoo Kimは、コードネーム「MDASH」の新しい「エージェントセキュリティハーネス」システムが、新しい脆弱性を見つけるために複数のモデル全体で100以上の専門エージェントを使用していると説明しました。
「マルチモデルエージェントスキャンハーネスは、設定可能なモデルパネルを実行します。これには、重い推論者としてのSOTAモデル、大量パスの費用対効果的な議論者としての蒸留モデル、および独立したカウンターポイントとしての2番目の別個のSOTAモデルが含まれます」と彼は言いました。
「モデル間の不一致それ自体が信号です。監査人が何かを疑わしいとフラグを立て、議論者がそれを反論できない場合、その発見の事後的信頼性は上がります。」
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-17-critical-flaws-may/
