TokyoBlackHatNews

theregister.com 5分で読了

Patch Tuesdayの目玉は30個の重大なマイクロソフトCVE

セキュリティ

朗報:ゼロデイはありません。悪い知らせ:マイクロソフト管理者にとって忙しい週が待っています

マイクロソフトは火曜日に137個のCVEの修正をリリースしました。このうち攻撃者に狙われたことが判明しているものはありません。しかし、Redmondが30個の欠陥を重大と評価し、そのうち14個が9.0以上のCVSS深刻度評価を獲得しており、完璧な10を1つ含んでいるため、ニュースはすべてが良いわけではありません。 

さらに、毎月のパッチ祭りを祝うすべての人が、先月広く疑われていたことについての検証を受け取りました:はい、Redmond(そしてすべての他の人も)はこれまで以上に膨大なバグを見つけるためにAIを使用しています。そして、それはパッチを適用およびテストしているすべての人にとってはるかに多くの仕事を意味します。 

「今月のリリースはホットパッチ月の大きい方に位置しており、今後もしばらくの間、リリースは拡大し続けると予想しています」とマイクロソフトセキュリティレスポンスセンターのエンジニアリング担当副社長Tom Gallagherは今月のPatch Tuesdayについての備考で述べました。

マイクロソフトはまた、これまで秘密にされていたAIバグハンティングシステムであるMDASHという名称で、今月のリリースで対処された脆弱性のうち16個を発見したと述べました。Redmondはさらに、AnthropicのMythosProject Glasswingと同様に、限定された数の顧客に対してツールをプライベートプレビューで利用可能にしていることを発表しました。

つまり、マイクロソフト管理者にとってこの5月のPatch Tuesdayは休まりません。

9.8と9.9という高いCVSS評価を受けた、最も悪質で興味深いバグのいくつかを見てみましょう。

まず:CVE-2026-41096。これは重大で9.8評価のWindows DNSクライアントリモートコード実行(RCE)であり、Redmondは悪用が「起こりそうにない」と言っていますが、できるだけ早くパッチを適用することをお勧めします。これはヒープベースのバッファオーバーフローが原因で、悪用するために認証またはユーザー操作は必要ありません(脆弱なシステムに特別に作成されたDNS応答を送信することで行われます)。これはメモリ破損およびRCEにつながる可能性があります。

「DNSクライアントはほぼすべてのWindowsマシンで実行されるため、攻撃面は膨大です」とZero Day Initiativeのバグハンティングボス、Dustin Childsは警告しました。「DNS応答に影響を与える立場にある攻撃者(中間者攻撃、不正なサーバー)は、エンタープライズ全体で認証されていないRCEを実現できます。」

さらに、Action1の脆弱性研究ディレクターであるJack BicerがThe Registerに語ったところでは、これは多くのエンタープライズシステムに非常に迅速に発生する可能性があります。「このCVEは直ちに注意が必要です」と彼は言いました。「成功した攻撃は、企業ネットワーク全体での広範なエンドポイント侵害、ランサムウェア展開、認証情報収集、および運用の中断につながる可能性があります。」

特に悪質なもう1つのバグである、Microsoft Dynamics 365オンプレミスシステムのCVE-2026-42898は、ほぼ完璧な9.9のCVSS評価を達成し、RCEにもつながります。認証されたすべてのユーザーがこの脆弱性をトリガーできます。管理者や他の昇格された特権は必要ありません。 

Redmondが説明するように:「必要な権限を持つ攻撃者は、Dynamics CRMのプロセスセッションの保存された状態を変更し、システムがそのデータを処理するようにトリガーすることができます。これにより、サーバーが意図せずに悪意のあるコードを実行する可能性があります。」

悪用がスコープ変更につながる可能性があるため、バグは脆弱なコンポーネント以外のシステムに影響を与える可能性があり、エンタープライズにとって非常に重大なリスクであり、優先されるべきです。「スコープの変更はかなり稀であるため、Dynamics 365 On-Premを実行している場合は、このパッチを迅速にテストして展開してください」とChildsは述べました。

9.8評価の2つのバグの2番目はCVE-2026-41089です。これはWindows Netlogonのスタックベースのバッファオーバーフローで、認証されていないリモート攻撃者がドメインコントローラーとして機能するWindowsサーバーに特別に作成されたネットワークリクエストを送信することで、脆弱なマシンでコードを実行できます。Childsが指摘しているように、攻撃者が認証情報またはユーザーの相互作用なしにこの欠陥を悪用できるという事実は、それを蠕虫化可能にします。「これは直ちにパッチが必要な最高の影響を持つバグです:侵害されたドメインコントローラーは侵害されたドメインです」と彼は付け加えました。

今月のディフェンダーにとっての唯一の救いは、完璧な10.0のCVSS評価を獲得した単一のCVEはAzure DevOpsにあり、ユーザーが何も修正する必要がないということです。

CVE-2026-42826 はDevOpsツールチェーンの情報開示脆弱性で、Redmondによると「すでにマイクロソフトによって完全に軽減されている」とのこと。「このサービスのユーザーが実行すべきアクションはありません。このCVEの目的は、さらに透明性を提供することです。」 ®


翻訳元: https://www.theregister.com/patches/2026/05/13/doozy-of-a-patch-tuesday-includes-30-critical-microsoft-cves/5239224

ソース: theregister.com
#AI #CVE #CVSS #Microsoft #Patch Tuesday #Windows #セキュリティ更新 #パッチ管理 #リモートコード実行 #脆弱性

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張