米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、積極的に悪用されているMicrosoft Defenderの脆弱性2件を既知の悪用脆弱性(KEV)カタログに追加し、期限を設けた上で連邦機関に緊急の修正指令を発出した。
両脆弱性は2026年5月20日に登録されており、Microsoftの組み込みエンドポイント保護に依存している企業のセキュリティチームにとって重大な影響をもたらす。
1件目の脆弱性はCVE-2026-45498として追跡されており、Microsoft Defender内の未特定の脆弱性で、攻撃者がサービス拒否(DoS)状態を引き起こすことを可能にする。
技術的な詳細は悪用を制限するために開示されていないが、攻撃が成功した場合、Defenderが機能不全に陥り、重大な局面で影響を受けたシステムからエンドポイント保護が失われる可能性がある。
これは多段階の攻撃チェーンにおいて特に危険であり、AV/EDR機能の無効化はランサムウェアの展開や横方向への移動の前提条件となる。
CISAは現時点でランサムウェアキャンペーンへの関与を確認していないが、このシナリオは現実的な脅威ベクターとして残っている。
2件目の脆弱性であるCVE-2026-41091は、リンクフォロー(CWE-59)の脆弱性であり、認証済みの低権限攻撃者がローカルで権限昇格を行うことを可能にする。
リンクフォロー脆弱性は、アプリケーションがシンボリックリンクやジャンクションをたどって意図しないファイルシステムの場所にアクセスする場合に発生し、昇格した権限で実行されるファイル操作を操作することで権限昇格を可能にする。
実際には、フィッシング・認証情報の窃取・別の脆弱性の悪用などで初期アクセスを取得した攻撃者が、この脆弱性を利用してSYSTEMレベルの権限に昇格し、侵害したホストを完全に制御することができる。
CISAによると、ランサムウェアとの関連は確認されていないが、権限昇格の手法は現代のランサムウェア侵入プレイブックの基本要素となっている。
拘束的運用指令(BOD)22-01に基づき、すべての連邦民間行政機関(FCEB)は2026年6月3日までにベンダーが提供する緩和策を適用するか、パッチが利用できない場合は影響を受ける製品の使用を中止することが義務付けられている。
CISAのガイダンスは、Microsoft Defenderを活用するクラウドホスト環境にも明示的に適用される。連邦機関以外の組織に対して、CISAは以下を強く推奨している。
Microsoft Defenderのようなエンドポイント検出・応答(EDR)ツールの脆弱性は、攻撃者にとって高価値なターゲットである。
セキュリティ製品を侵害または無効化することで、攻撃者はアラートを沈黙させるか、防御コントロールを作動させることなく昇格したアクセス権を取得するという大きな戦術的優位性を得られる。
リンクフォロー脆弱性(CVE-2026-41091)は、よく知られた攻撃者のプレイブックに従っている。すなわち、限られた権限で初期アクセスを取得し、ローカルの権限昇格の脆弱性を悪用して、より広範なシステム制御を達成するというものだ。
エンタープライズ環境でMicrosoft Defenderを運用している組織は、6月3日の期限よりも前にこれらの脆弱性のパッチ適用を優先すべきだ。
セキュリティチームはまた、異常な権限昇格アクティビティを監視し、悪用の兆候についてエンドポイントのテレメトリを確認すべきである。
翻訳元: https://cyberpress.org/cisa-exploited-microsoft-defender-0-day/