出典:Shutterstock提供 Datenschutz-Stockfoto
12月の後、次のパッチチューズデーも控えめな内容だろうと見込んでいたセキュリティチームは、マイクロソフトの1月更新で失望する可能性が高い。今回の更新では、112件の共通脆弱性識別子(CVE)に対処しており、先月に対応した件数のほぼ2倍に当たる。
その中には、Desktop Window Manager(DWM)のゼロデイ脆弱性であるCVE-2026-20805(CVSSスコア:5.5)も含まれる。攻撃者はすでにこれを悪用し、メモリアドレス情報を漏えいさせてシステム保護を弱め、後続の攻撃を可能にしている。
積極的に悪用されているゼロデイ
DWMは、アプリケーションウィンドウがユーザーの画面にどのように表示されるかを制御しており、長年にわたり一定数の脆弱性が見つかってきたコンポーネントだと、Tenableのシニアスタッフ・リサーチエンジニアであるSatnam Narang氏は事前コメントで述べた。最新の脆弱性――DWMにおける初の情報漏えい型ゼロデイバグ――は、攻撃者が権限昇格に役立つ情報を盗み出せるようにする、とNarang氏は言う。
マイクロソフト自身はCVE-2026-20805を比較的中程度の深刻度と評価しているものの、攻撃者がすでに悪用しているという事実がリスクをさらに高めていると、Action1の脆弱性リサーチディレクターであるJack Bicer氏は付け加えた。「組織にとって、この脆弱性は成功する多段階攻撃のリスクを高める」とBicer氏は警告する。「漏えいしたメモリの詳細は、他の脆弱性と組み合わせて権限昇格やデータ窃取を実現でき、より広範なシステム侵害、規制上の露出、信頼の喪失につながり得る。」
悪用される可能性がより高い
マイクロソフトは、1月の更新に含まれる脆弱性のうち8件を、さまざまな理由から攻撃者に悪用される可能性がより高い問題として特定した。その中には、Windows NTFSのリモートコード実行(RCE)脆弱性2件――CVE-2026-20840(CVSSスコア:7.8)およびCVE-2026-20922(CVSSスコア:7.8)がある。いずれもバッファオーバーフローの脆弱性で、事前にシステムへアクセスできる攻撃者が悪用すると、任意のコードを実行できる。
Immersiveの脅威リサーチ担当シニアディレクターであるKev Breen氏は、問題を特定してマイクロソフトへ報告したのがサードパーティであることを踏まえ、組織はこの2件の脆弱性に直ちに対処すべきだと促した。これは、バグの技術的詳細が近く公開される可能性が高く、組織がパッチ適用を急ぐ必要性が増すことを意味すると、同氏はメールでのコメントで述べた。「詳細情報が公開されれば、これは急速にnデイ脆弱性になり得る。悪用が広範化する前に組織がパッチを適用できる期間が狭くなる」とBreen氏は述べた。
多数の権限昇格バグ
今月のセットに残る6件の脆弱性のうち、マイクロソフトが脅威アクターに悪用される可能性が高いと見ているものは、すべて権限昇格(EoP)の欠陥であり、すでにシステムへアクセスしている攻撃者がアクセス権限レベルを引き上げられる。6件の欠陥は、Windows InstallerのCVE-2026-20816、Windows Error Reportingの別の欠陥であるCVE-2026-20817、Windows Common Log File System DriverのCVE-2026-20820、Windows Routing and Remote Access Serviceに影響するCVE-2026-20843,、WinSock向けWindows Ancillary Function DriverのCVE-2026-20860、そしてDesktop Window ManagerのCVE-2026-20871である。マイクロソフトはこれら各バグに対し、CVSSスケールで10点満点中7.8という同一の深刻度スコアを付与した。
いつものことだが、マイクロソフトが悪用される可能性が低いとタグ付けした欠陥の中にも、優先的な対応が必要なものがある。CVE-2026-20876はその一例で、Windows Virtualization Based Security(VBS)EnclaveにおけるEoPバグだ。この欠陥により、攻撃者はWindowsのセキュリティ障壁を突破し、システムで最も信頼される実行レイヤーへアクセスできるようになると、Action1の社長兼共同創業者であるMike Walters氏は述べた。「この脆弱性は、資格情報、シークレット、機密ワークロードを保護するためにVBSに依存している組織にとって深刻なリスクをもたらす」とWalters氏は事前コメントで説明した。悪用に成功すれば、攻撃者はセキュリティ制御を回避し、深い永続性を確立し、検知を回避できる可能性がある。この欠陥は、「強固に分離されていると想定されるシステムを侵害し、侵入の影響範囲(ブラスト半径)を拡大させる」手段を攻撃者に与える。
重大だがリスクは低い?
CVE-2026-20952(CVSSスコア:8.4)とCVE-2026-20953(CVSSスコア:8.4)は、マイクロソフトが重大(critical)と評価した2つの欠陥だが、同社は攻撃者が実際にこれらのバグを悪用する可能性は低いと見積もっている。いずれもリモートコード実行を可能にし、Microsoft Officeに影響し、権限のないユーザーがローカルで任意のコードを実行できるようにする。これらの脆弱性により、攻撃者は信頼されたOfficeドキュメント、あるいはプレビューペインさえ利用して悪意あるコードを配信できる。Bicer氏によれば、攻撃者は特権を必要とせず、場合によってはユーザー操作なしに、ローカルで任意のコードを実行できる。
「どちらの脆弱性も悪用される可能性は低いと評価されているが、Microsoftのプレビューペイン経由で悪用可能であるため、攻撃者はユーザーがファイルを開かなくてもコード実行を達成できる」とNarang氏は指摘した。「現代の脅威環境では、ちらっと見るだけでもリスクになり得る。」
2025年、マイクロソフトは製品ポートフォリオ全体で1,275件のユニークなCVEに対するパッチを提供した。昨年は157件のパッチを含む更新で幕を開け(最大8件のゼロデイ修正を含む)、2025年10月には記録的な163件のパッチのモンスターを提供した。
翻訳元: https://www.darkreading.com/application-security/microsofts-starts-2026-bang-zero-day
