Microsoftが過去最多となる622件の脆弱性を修正、悪用済みのゼロデイも2件含む

Microsoftは火曜日、過去最多となる622件の脆弱性に対するパッチを発表しました。この中には、Active DirectoryとSharePoint Serverに存在し、ゼロデイとして実際に悪用されていた2件のバグも含まれています。

CVE-2026-56155として追跡されている、悪用が確認されたAD FS(Active Directory Federation Services)の脆弱性は、攻撃者がローカルで権限を管理者へと昇格させることを可能にするものです。

同じく権限昇格につながるSharePoint Serverの脆弱性はCVE-2026-56164として追跡されており、認証なしでネットワーク経由で悪用できます。

Microsoftが注意を呼びかけたもう一つの重大な脆弱性が、CVE-2026-50661です。これはBitLockerのセキュリティ機能バイパスの問題で、物理的にアクセスできる攻撃者による悪用が可能であり、2026年7月のPatch Tuesdayに先立って一般に公開されていました。

「これはNightmare-Eclipse(別名Chaotic-Eclipse)として知られる研究者が相次いで公開したゼロデイ脆弱性群と関連している可能性があると見ていますが、公式な確認は取れていません」と、TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏はコメントしています。

Microsoftのリリースノートによると、今月はWindowsで416件、Officeスイートで164件の脆弱性に対する修正が行われました。

特に注意すべき脆弱性としては、Windows VMSwitchに存在する深刻な脆弱性CVE-2026-57092(CVSSスコア9.9)や、SharePointに存在するCVE-2026-50522(CVSSスコア9.8、なおCVE-2026-50522は原文どおり重複表記)が挙げられると、ZDIは指摘しています

また、Exchange ServerのXSS脆弱性(CVE-2026-55008)や、リモートデスクトッププロトコル(CVE-2026-56190)、Windows DHCP Server(CVE-2026-50518)、Windows Serverのネットワークドライバ(CVE-2026-56188)、Minecraft Bedrock Dedicated Server(CVE-2026-55010)におけるリモートコード実行(RCE)のバグにも高い注意が必要です。

Microsoftによる今回の大規模なセキュリティ更新では、Azure、Defender、Developer Tools、Exchange Server、Edge、SQL Serverなど、他の複数の製品にまたがるセキュリティ上の弱点も解消されています。

622件という件数により、2026年7月のPatch Tuesdayのリリースは、Microsoftの年間累計CVE件数を過去の年の合計をも上回る水準へと押し上げましたが、これは驚くべきことではありません。

先週、Windows担当のエグゼクティブバイスプレジデントであるPavan Davuluri氏は、AIによって脆弱性の発見が加速していることを発表し、Microsoftはマルチモデル・エージェント型スキャニングハーネス(MDASH)を用いてWindowsのコードベース全体からより迅速にバグを検出していると述べました。

「脆弱性の発見を独立した活動として扱うのではなく、新機能や更新プログラムをリリースする前にWindowsを構築・レビュー・改善していく過程そのものの一部として位置づけられるよう、社内のシステムや慣行を引き続き進化させています」とDavuluri氏は述べています。

2026年7月のPatch Tuesdayでは、Adobeも88件の脆弱性に対する修正をリリースしており、その中にはColdFusion、Commerce、Experience Manager、Illustratorにおける深刻な脆弱性も含まれています。

翻訳元: https://www.securityweek.com/microsoft-patches-record-622-vulnerabilities-including-two-exploited-zero-days/

ソース: securityweek.com