AnyDeskのゼロデイ脆弱性、ローカル攻撃者によるシステム全体のサービス拒否を誘発

新たに公表されたAnyDeskのゼロデイ脆弱性が、リモートアクセスソフトウェアの「Send Support Information(サポート情報の送信)」機能を悪用することで、ローカル攻撃者にサービス拒否状態を引き起こさせる恐れがあることが分かりました。

Penetrationtesting services

この勧告はZDI-26-401およびZDI-CAN-26645として追跡されており、2026年7月8日にTrend MicroのZero Day Initiative(ZDI)によって公表されました。この脆弱性にはCVE-2026-15682が割り当てられており、CVSS v3スコアは4.7で、深刻度は中程度(Medium)とされています。

AnyDeskのゼロデイ脆弱性

この脆弱性はAnyDeskのインストール環境に影響を及ぼすもので、攻撃者が対象のWindowsシステム上で低権限ユーザーとしてコードを実行できることが前提条件となります。

この脆弱性はそれ単体では機密情報へのアクセスやコード実行を直接可能にするものではありませんが、システムの可用性に影響を与える恐れがあります。これは、AnyDeskがリモート管理やヘルプデスク業務、無人デバイス管理に使用されている環境では重大な懸念事項となります。

ZDIによると、この問題はアプリケーションのSend Support Information機能に存在します。この機能は診断データを収集し、ユーザーが関連情報をAnyDeskサポートへ送信する作業を支援するために設計されています。

しかし、低権限のローカルアクセス権を持つ攻撃者は、ファイルシステムのジャンクションを作成することで、サービスがファイルを書き込む先を制御できます。この挙動を悪用することで、攻撃者はサービスに意図しない場所へ任意のファイルを作成させることが可能になります。

Windowsのジャンクションは、あるディレクトリへのアクセスを別のパスへリダイレクトするリパースポイントです。アプリケーションや権限を持つサービスが、最終的な参照先を十分に検証しないままユーザー制御下のジャンクションをたどってしまうと、攻撃者はファイル操作を本来意図されたディレクトリの外部へリダイレクトできる可能性があります。

CVE-2026-15682の場合、この任意ファイル作成の能力を利用することで、影響を受けるシステム上にサービス拒否状態を引き起こすことができます。ZDIは、即時の悪用リスクを抑えるためとみられますが、これ以上の技術的詳細や概念実証(PoC)コード、具体的な標的ファイルについては公表していません。

CVSSベクター「CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H」は、ローカルからの攻撃であること、低権限であること、そして可用性への影響が大きいことを反映しています。

また、この脆弱性の悪用には高い攻撃複雑性が求められ、攻撃者が特定の環境条件やファイルシステム条件を満たす必要があることを示しています。攻撃者が必要なローカルコード実行の足がかりを一度確保してしまえば、それ以降ユーザーの操作は必要ありません。

SiDi所属の研究者Giuliano Sanfins氏(ハンドルネーム0x_alibabas)が、ZDIを通じてこの問題をAnyDeskに報告しました。この開示プロセスには1年以上を要しています。ZDIは2025年3月31日にベンダーのセキュリティ運用チームへ報告書を提出し、実質的な回答が得られなかったため複数回にわたり追跡依頼を送っています。

AnyDeskのサポートは2025年9月にセキュリティチームへのエスカレーションを認めたものの、その後2025年12月になって、この問題は自社の対応範囲外であると回答しました。2026年6月26日、ZDIはこの勧告をゼロデイとして公表する意向であることをベンダーに通知しました。

開示時点では、ベンダーによるパッチや回避策は提供されていないとZDIは報告しています。同勧告では、唯一有効な緩和策は本製品との対話を制限することだとしています。

組織は、AnyDeskを稼働させているエンドポイントへのローカルアクセスを制限し、最小権限の原則を徹底するとともに、不審なジャンクションやリパースポイントの作成を監視し、機密性の高い環境においてAnyDeskのサポート情報機能が本当に必要かどうかを見直すべきです。

 脅威検知と迅速な調査を加速し、SOCを強化しましょう。 -> ANY.RUNをSOCと統合する こちらから。

翻訳元: https://gbhackers.com/anydesk-zero-day-flaw/

ソース: gbhackers.com