MicrosoftはWindowsリモートデスクトッププロトコル(RDP)における複数の情報漏えい脆弱性を修正しました。RDPはWindowsシステムのリモート管理・アクセスに広く利用されているサービスです。
Penetrationtesting services
これら5件の脆弱性を悪用されると、攻撃者が脆弱なホストから情報を取得できる可能性があり、RDPセッション中にアプリケーションメモリ上に保持されているデータが漏えいする恐れがあります。
Microsoftが複数のWindows RDP脆弱性を修正
これらの脆弱性はすべて「重要」の深刻度評価と、CVSS v3.1基本値6.56.56.5が付与されています。Microsoftのアドバイザリ情報によると、ほとんどの脆弱性はリモートから認証なしでアクセス可能ですが、悪用の成功にはユーザーの操作が必要です。唯一の例外はCVE-2026-57982で、低権限のローカルアクセスを必要としますが、ユーザー操作は不要です。
- CVE-2026-50445:バッファオーバーリード(CWE-126)に起因するWindows RDP情報漏えい脆弱性で、ネットワーク経由で機密データが露出する可能性があります。
- CVE-2026-50497:オフバイワンエラーおよび未初期化リソースの使用(CWE-193、CWE-908)に関わるRDP情報漏えい脆弱性です。
- CVE-2026-55003:Windows RDPにおける未初期化リソースの問題(CWE-908)で、メモリ上に存在する機密情報が漏えいする可能性があります。
- CVE-2026-57979:Windows RDPの範囲外読み取り脆弱性(CWE-125)で、ネットワーク経由での不正な情報漏えいを許してしまう可能性があります。
- CVE-2026-57982:未初期化リソースの使用(CWE-908)に起因するRDP情報漏えい脆弱性です。低権限を必要としますが、ユーザー操作は不要です。
CVE-2026-50445はバッファオーバーリードの状態に起因するもので、CWE-126に分類されます。この種の問題は、ソフトウェアがメモリバッファの想定境界を超えて読み取りを行うことで発生し、本来公開されるべきでない隣接データが返されてしまう可能性があります。
攻撃者は、影響を受けるRDPコンポーネントに特別に細工したデータを処理させることでこの脆弱性を悪用でき、その結果、ネットワーク経由で機密情報が漏えいする恐れがあります。
2つ目の問題であるCVE-2026-50497は、オフバイワンエラーと未初期化リソースの使用に関わるもので、CWE-193およびCWE-908に分類されます。オフバイワンの不具合が発生すると、ソフトウェアが有効なメモリ境界を1バイトまたは1要素分超えてアクセスしてしまう可能性があります。
同時に、未初期化リソースの問題により、使用前に適切に初期化されていないメモリ上の残存データが漏えいする可能性もあります。
Microsoftは、CVE-2026-55003とCVE-2026-57982も修正しました。いずれも未初期化リソースの使用に起因するものです。これらの不具合により、他のプロセスや以前の処理によってメモリ上に残されたデータが漏えいする可能性があります。
一方のCVE-2026-57979は範囲外読み取りの脆弱性で、CWE-125に分類されており、同様に許可された領域を超えたメモリの不正な読み取りを許してしまう可能性があります。
ネットワーク経由で到達可能な脆弱性であるCVE-2026-50445、CVE-2026-50497、CVE-2026-55003、CVE-2026-57979は、いずれもAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:NAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:NAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:Nというベクターを持ちます。
これは、悪用の複雑さは低く、事前の権限も不要である一方、攻撃者はユーザーを説得して悪意のあるコンテンツや細工されたRDP接続シナリオに操作させる必要があることを意味します。影響は機密性のみに限定されており、CVSSベクター上は完全性や可用性への直接的な影響は示されていません。
各組織は、特にRDPが有効になっているエンドポイント、踏み台サーバー、インフラシステムにおいて、Microsoftの2026年7月のセキュリティ更新プログラムを速やかに適用すべきです。
また管理者は、RDPをインターネットに公開する範囲を制限し、VPNまたはゼロトラストのアクセス制御を必須とし、ネットワークレベル認証を有効化し、多要素認証を強制するとともに、不審な接続やセッションの挙動がないかRDPログを監視することが求められます。
ブラウザレベルの可視性を獲得し、復号済みのフィッシングページを可視化、調査を迅速化、認証情報窃取によるコストを削減 -> ANY.RUNでSOCを強化
翻訳元: https://gbhackers.com/microsoft-fixes-multiple-windows-rdp-flaws/