マイクロソフトが2026年5月に公開したパッチ・チューズデーが重大な局面を迎えています。セキュリティ研究者らにより、高リスクのWindows Netlogon脆弱性が実環境で積極的に悪用されていることが確認されました。
CVE-2026-41089として追跡されるこの脆弱性は、認証のない攻撃者がユーザーの操作を一切必要とせずにドメインコントローラーに対してリモートコードを実行できるものであり、ここ数か月で最も危険な脆弱性の一つです。
この脆弱性はWindows Netlogonサービスに影響します。同サービスはWindowsドメイン環境における認証とセキュアな通信を担う中核的なコンポーネントです。
この脆弱性が特に深刻なのは、ゼロクリックという性質にあります。攻撃者は悪用を引き起こすために、認証情報もユーザーの操作も必要としません。
これにより脅威アクターの参入障壁が大幅に下がり、ドメインコントローラーが重要インフラとなっている企業環境を中心に、大規模攻撃の可能性が一段と高まります。
マイクロソフトによると、攻撃者はドメインコントローラーに特別に細工したネットワークリクエストを送信することでこの脆弱性を悪用できます。攻撃が成功すると、Netlogonサービスがリクエストを不正に処理し、SYSTEMレベルの権限で悪意のあるコードが実行されます。
セキュリティ当局は、悪用に成功した場合はドメイン全体が侵害される可能性があり、攻撃者による横方向への移動、ランサムウェアの展開、機密データの窃取が可能になると警告しています。この問題はWindows Server 2012以降のバージョンに影響し、パッチはすでに提供されています。
Windows Netlogon 0-Click 脆弱性の詳細
2026年5月のパッチ・チューズデーでマイクロソフトが対処した脆弱性は合計118件にのぼり、そのうち16件がクリティカル、102件が重要と評価されています。
対象となる脆弱性はリモートコード実行、権限昇格、スプーフィング、サービス拒否、セキュリティ機能のバイパスなど、複数のカテゴリにまたがっています。
このうち29件がリモートコード実行に分類され、57件は権限昇格のリスクに関連するものです。
注目すべき点として、マイクロソフトはリリース前に公表または悪用された脆弱性が一件もなかったと報告しており、これは2024年6月以来初めてのことです。ただし、12件の脆弱性が悪用される可能性が高いとして警告されており、更新プログラムの早急な適用が求められています。
もう一つのクリティカルな問題として、CVE-2026-41096がWindows DNSクライアントに影響します。この脆弱性により、攻撃者は悪意のあるDNSレスポンスを送信することでコードを実行できる可能性があります。
この脆弱性は、特定の構成においてメモリ破壊を引き起こし、認証なしでリモートから侵害される恐れがあります。
さらに、CVE-2026-41103はJiraおよびConfluence向けのMicrosoft SSOプラグインに影響します。この権限昇格の脆弱性により、攻撃者は認証レスポンスを偽造でき、企業向けコラボレーションプラットフォームへの不正アクセスや、侵害されたユーザーアカウントでの操作が可能になる恐れがあります。
マイクロソフトはまた、127件のChrome関連CVEおよび1件のAMD関連脆弱性を再公開するとともに、通常は自動的にパッチが適用されるMicrosoft Edgeとクラウドサービスの修正も含めています。
事態が深刻化したのは2026年5月29日で、CVE-2026-41089が積極的に悪用されていることが確認されました。Center for Cybersecurity Belgiumをはじめとするセキュリティ機関は、適切なテストを経た上での即時パッチ適用を推奨する緊急勧告を発表しています。
組織はまた、Netlogonの悪用や異常な認証パターンに関連する不審なアクティビティを検知するため、監視・検出能力の強化も求められています。パッチ適用は過去の侵害には対処できないため、インシデント対応態勢の整備も同様に重要です。
Windowsのコアサービスにおいて積極的に悪用されるゼロクリック脆弱性が出現したことは、脅威アクターの巧妙化が一段と進んでいることを示しています。
ドメインコントローラーが主要な標的となっている今、組織は大規模な侵害リスクを低減するため、パッチの展開と継続的な監視を最優先事項とする必要があります。
翻訳元: https://gbhackers.com/windows-netlogon-0-click-rce-vulnerability/
