AnyDeskのゼロデイ脆弱性、低権限の攻撃者によるサービス拒否攻撃を許してしまう

人気のリモートアクセスソフトウェアAnyDeskに新たに公表されたゼロデイ脆弱性(CVE-2026-15682として追跡)により、低権限のローカル攻撃者が影響を受けるシステム上でサービス拒否(DoS)状態を引き起こせることが判明しました。

この問題は、アプリケーションの「サポート情報の送信」機能内でファイル操作が適切に処理されていないことに起因しており、ファイルシステムのジャンクションを悪用することでシステムが機能停止に陥る危険にさらされます。

この脆弱性は、サポートデータ収集時にファイルパスの検証が不十分であることに起因します。攻撃者は悪意のあるジャンクション(Windows環境におけるファイルシステムのリダイレクト機構の一種)を作成することで、アプリケーションを操作し、意図しない場所に任意のファイルを作成させることができます。

この欠陥は権限昇格やリモートコード実行を直接可能にするものではありませんが、システムを不安定化させる確実な手段を攻撃者に提供し、サービスのクラッシュやリソース枯渇を引き起こす可能性があります。

CVE-2026-15682を悪用するには、攻撃者はまず標的マシン上で低レベル権限によるコード実行能力を得る必要があります。

この前提条件によりリモートからの悪用シナリオは限定されますが、攻撃者が業務妨害や検知回避、インシデント対応ワークフローへの干渉を狙うことが多い侵害後の状況において、この脆弱性は特に重要な意味を持ちます。

Giuliano Sanfins氏は、Windows環境におけるジャンクションの悪用が、不適切なファイル処理ロジックを突く手法として以前から広く用いられてきたことを指摘しています。

今回のケースでは、サポート情報送信機能が意図せずファイルシステム操作の攻撃経路となり、攻撃者はファイル作成処理を機密性の高い、あるいはシステムにとって重要なパスへとリダイレクトできてしまいます。これによりアプリケーションの不安定化や、より広範なシステムレベルのサービス拒否状態を引き起こす可能性があります。

この脆弱性は、Trend MicroのZero Day Initiative(ZDI)を通じてSiDi(0x_alibabas)所属のGiuliano Sanfins氏によって発見・報告されました。ZDIは2025年3月31日に当初この報告をベンダーに提出し、その後も受領確認や状況確認のため複数回にわたり連絡を試みました。

再三の追跡連絡にもかかわらず問題は未解決のままとなり、最終的にZDIは2026年6月26日にこの脆弱性をゼロデイアドバイザリとして公表する意向を発表するに至りました。

ベンダーによる迅速な修正対応や明確なコミュニケーションの欠如は、特にAnyDeskのような広く展開されているリモートアクセスツールにおいて、パッチ管理や協調的な脆弱性開示のあり方に懸念を投げかけています。

本記事公開時点で、公式パッチや修正プログラムはリリースされていません。そのため、緩和策は限られています。セキュリティ専門家は、AnyDeskアプリケーション、特に影響を受けるサポート機能とのやり取りを制限し、厳格なアクセス制御を実施することで露出を最小限に抑えるよう推奨しています。

また、ファイルシステムの異常な活動を監視し、ローカルでのコード実行能力を制限することも、悪用リスクの低減に役立ちます。

AnyDeskが企業環境・リモートワーク環境の両方で広く利用されていることを踏まえ、組織はベンダーによるパッチが提供されるまでの間、自社の露出状況を評価し、代替の対策を講じることが強く推奨されます。

より強力なプロアクティブ防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCから得られるライブ脅威フィードを統合

翻訳元: https://cyberpress.org/anydesk-zero-day-flaw/

ソース: cyberpress.org