CISAは、Microsoft Defenderに影響を与える新たに開示された2つのゼロデイ脆弱性について、組織に警告する緊急警告を発行しました。両方とも2026年5月20日に既知の悪用脆弱性(KEV)カタログに追加されました。
CVE-2026-45498:Microsoft Defender DoS脆弱性
CVE-2026-45498は、セキュリティサービスが機能を停止させる可能性があるMicrosoft Defenderのサービス妨害(DoS)脆弱性です。攻撃者はこの欠陥を悪用して保護メカニズムをオフにし、システムをさらなる侵害にさらす可能性があります。
技術的な詳細は限定されていますが、セキュリティツールのDoS脆弱性は防御の可視性と対応能力に直接影響するため、特に危険です。
CVE-2026-41091:リンクフォローイングを介した権限昇格
CVE-2026-41091は、ローカルに認可された攻撃者が権限を昇格させることを可能にするリンクフォローイング脆弱性(CWE-59)です。この問題は、Microsoft Defenderがシンボリックリンクを不適切に処理し、攻撃者がファイル操作をリダイレクトしてより高いレベルのアクセスを取得できるようにする場合に発生します。
このような脆弱性は、初期アクセス後にラテラルムーブメントを実行したり、侵害された環境内で制限されたアクションを実行したりするために使用されることが多いです。
CISAは、両方の脆弱性が野生で積極的に悪用されていることを確認しました。ただし、現在のところ、それらをランサムウェアキャンペーンに直接リンクする確認された証拠はありません。
これにもかかわらず、リスクは依然として重大です:
- 攻撃者はDoS欠陥を悪用してエンドポイント保護をオフにする可能性があります。
- 権限昇格により、より深刻なシステム侵害が可能になります。
- 組み合わせた悪用は、影響を受けたシステムの完全な制御につながる可能性があります。
拘束力のある運用指令(BOD)22-01に基づき、米国連邦機関はこれらの脆弱性を2026年6月3日までに修復する必要があります。
CISAが推奨します:
- マイクロソフト発行のパッチまたはミティゲーションをすぐに適用してください。
- クラウドおよびエンタープライズ環境についてBOD 22-01ガイダンスに従ってください。
- 修正が利用できない場合は、影響を受けた製品の使用を中止してください。
これらの脆弱性は、セキュリティツール自体が攻撃ベクトルになる可能性があることを示しています。脅威行為者は、より広範な攻撃を開始する前に防御を弱体化させるために、エンドポイント保護ソリューションをますます標的にしています。
Microsoft Defenderを使用している組織は、監視を強化し、権限を制限し、リスクを低減するために階層化されたセキュリティ制御を実装する必要があります。
翻訳元: https://gbhackers.com/cisa-alert-on-exploited-microsoft-defender-zero-day/
