数百万のWindowsマシン内に潜む静かなる脅威が存在しています。新たに明らかになったMicrosoft Windows DNSクライアントの脆弱性により、攻撃者は犠牲者の操作を必要とせず企業ネットワーク全体で悪意のあるコードを実行でき、近年見られた最も広い攻撃面の一つが露わになりました。
公式にはCVE-2026-41096として指定されているこの重大なセキュリティフローは、CVSS スコア10点満点中9.8点を記録しています。
ルーチンなネットワーククエリに対して特別に細工されたレスポンスを返すことで、サイバー犯罪者はユーザーの操作なし、事前認証なしで脆弱なエンドポイントを制御できます。
Microsoftは現在、実際の悪用の可能性は低いと評価していますが、影響を受けるマシンの膨大な数は、世界中のセキュリティチームにとって最優先の緊急事態となっています。
この脆弱性の核心は、Windowsオペレーティングシステムのアーキテクチャ内に深く潜むヒープベースのバッファオーバーフローです。
この脆弱性は、ほぼすべての最新Windowsマシンで受信DNS応答の処理を担当する基本的なコンポーネントであるDNSAPI.dllを特に標的にしています。
このエクスプロイトは、通常の避けられない活動を通じてトリガーされます。ブラウザがウェブページを読み込むたび、VPNがセキュアなトンネルを確立するたび、またはバックグラウンドサービスが更新をチェックするたびに、システムは標準的なDNSクエリを送信します。
脆弱なマシンがこれらのリクエストに対して悪意を持って作られたレスポンスを受け取ると、ソフトウェアはメモリ境界を誤計算し、ネットワークペイロードを不適切に処理します。
Microsoftのセキュリティアップデートガイドによると、このメモリ破損により攻撃者はクライアントレベルで任意のコードを実行できます。
脅威アクターは、侵害されたルータ、不正なローカルネットワークサーバ、中毒されたDNSリゾルバ、または敵対的なパブリックWi-Fi接続を通じて、その悪意のあるレスポンスを配信するための位置取りが可能です。
複雑なソーシャルエンジニアリングは必要ありません。ターゲットマシンがエクスプロイトを静かにトリガーするために必要なのは、通常の継続的なバックグラウンド接続チェックを実行するだけです。
脆弱な処理がエッジ側向きのサーバインフラではなくクライアントレベルで発生するため、爆発範囲は通常のワークステーションとエンタープライズサーバの両方に同等に拡大します。
このダイナミクスは、内部システムがパッチされていない場合、既に侵害されたネットワーク周辺内でのラテラルムーブメントが迅速に発生し、単一のエントリーポイントが全規模の侵害に変わる可能性があることを意味します。
サイバーセキュリティアナリストは、これらのパッチを直ちに適用することを強く推奨し、インターネット向きデバイスおよび信頼されていないリモートネットワークに頻繁に接続するエンドポイントを優先しています。
即座のパッチが不可能な環境では、ディフェンダーはアウトバウンドDNS接続を信頼されたリゾルバのみに制限し、バックグラウンドネットワークサービスによって生成された異常な子プロセスがないかエンドポイントを注視する必要があります。CVE-2026-41096の深刻さを考えると、遅延は選択肢ではありません。
翻訳元: https://cyberpress.org/windows-dns-client-flaw/
