MicrosoftのActive Directory FS権限昇格の欠陥、実際の攻撃で悪用

Microsoftは、Active Directory Federation Services(AD FS)における権限昇格の脆弱性が実際に悪用されていることを明らかにしました。この脆弱性はCVE-2026-56155として追跡されています。

この欠陥は2026年7月14日、Microsoftとして過去最大規模となるPatch Tuesdayの一環として公開され、対象は622件のCVEに上ります。CVSS 3.1の基本値は7.8、時間経過値は7.2となっています。

根本原因はCWE-1220「アクセス制御の粒度不足」に分類されており、AD FSがロール間の権限境界を十分に細かく制御できていないことを意味します。

Microsoftのアドバイザリによると、この脆弱性は「認可されていない攻撃者がローカルで権限を昇格させることを可能にする」とされています。

Zero Day Initiativeの研究者は、この欠陥がアクセス制御の粒度不足に起因しており、悪用にはローカルでの低権限アクセスが必要だと指摘しています。とはいえ、AD FSサーバーは侵害後に頻繁にアクセスされる対象であるため、これはさほど高いハードルではないとしています。

Microsoft自身のセキュリティ更新プログラムのガイダンスでは、この問題がAD FSファーム全体で暗号鍵の保存・共有を担うコンポーネントである、AD FS Distributed Key Manager(DKM)コンテナのアクセス制御リスト(ACL)権限の脆弱性に直接起因すると説明しています。

Microsoftのエクスプロイト可能性指標では、すでに実際の攻撃での悪用が検出されていることが確認されています。また、この脆弱性はアドバイザリ公開以前に一般には公表されておらず、事前の公開研究ではなく、直接のインシデント対応を通じて発見された可能性を示唆しています。

Zero Day Initiativeのアナリストは、今月パッチが適用された複数のAD FSの不具合の中で、CVE-2026-56155を「実際に悪用されている唯一のもの」として名指しし、「ランサムウェアでよく見られるように、RCEと組み合わせて使われる可能性もある」と警告しています。

この脆弱性の悪用に成功すると、攻撃者は管理者レベルの権限を取得できます。AD FSはオンプレミスのActive DirectoryとMicrosoft 365やAzure ADといったクラウドサービスをつなぐ、中核的なID連携基盤です。そのため、この階層での侵害は極めて大きな影響をもたらします。

Zero Day Initiativeは「AD FSはまさに、攻撃者が侵入後に足がかりとして狙いたがる類のID基盤だ」と端的にリスクをまとめています。ここでの特権アクセスを許すと、トークンの偽造、認証バイパス、そして連携先のクラウド環境とオンプレミス環境をまたいだ横展開が可能になるためです。

Microsoftの修正方針は、単一の自動修正ではなく、段階的な展開という形を取っています。

2026年7月14日の更新プログラムでは、安全でないDKMコンテナのACL設定を検知する監査モードが導入され、対応が必要な場合はAD FS管理イベントログにイベントID 1132を記録するようになりました。ただし、この監査モードが権限を自動的に変更することはありません。

管理者はRemediateDkmAclレジストリキーを設定することで、直ちに修正を有効化する選択が可能です。また、Microsoftは2026年10月13日を、未設定の環境に対して自動的に修正が適用される期日として定めています。

SOCに、自信を持って行動するための情報力を。
ノイズを減らし、業務効率を高めるANY.RUNの脅威インテリジェンスフィードをぜひご覧ください。

翻訳元: https://cyberpress.org/microsoft-ad-fs-privilege-escalation-flaw/

ソース: cyberpress.org