Microsoftと米政府は、本日公開されたWindowsのバグがすでに攻撃を受けていると警告した。
この欠陥はCVE-2026-20805として追跡され、Microsoft自身の脅威インテリジェンスチームが発見したもので、認可された攻撃者がリモートのALPCポートからメモリアドレスを漏えいさせることを可能にする。
Trend MicroのZero Day Initiativeで脅威認知部門責任者を務めるDustin Childsの分析によれば、「おそらく脅威アクターは、そのアドレスをエクスプロイトチェーンの次の段階で使用し、任意のコード実行を得る可能性が高い」という。
これは中程度の深刻度の欠陥で、CVSS評価は5.5となっている。
レドモンドがパッチを提供した直後、米サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)はCVE-2026-20805を追加し、同庁の既知の悪用された脆弱性(Known Exploited Vulnerabilities)カタログに掲載した。これは連邦機関が2月3日までに修正を適用しなければならないことを意味する。「この種の脆弱性は悪意あるサイバーアクターにとって頻繁な攻撃ベクターであり、連邦組織に重大なリスクをもたらす」と当局は警告した。
この穴を誰が悪用しているのか、また悪用がどの程度広がっているのかは分かっていない。Microsoftはこの件に関する質問への回答を拒否したため、このパッチは最優先で適用することを勧めたい。
Immersiveのサイバー脅威リサーチ担当シニアディレクターであるKev BreenはThe Registerに対し、「この種の脆弱性は、バッファオーバーフローやその他のメモリ操作系エクスプロイトから保護するために設計された、OSの中核的なセキュリティ制御であるアドレス空間配置のランダム化(ASLR)を弱体化させる目的で一般的に用いられる」と語った。
さらに彼は、「メモリ上のどこにコードが存在するかを明らかにすることで、この脆弱性は別のコード実行の欠陥と連鎖させることができ、複雑で信頼性の低いエクスプロイトを、実用的で再現可能な攻撃へと変えてしまう」と付け加え、こうしたエクスプロイトチェーンに関与し得る他のコンポーネントを明らかにしていない点でレドモンドを批判した。
その省略は、ネットワーク防御側の「関連活動を能動的に脅威ハンティングする能力」を「大幅に」制限するとBreenは述べた。「その結果、現時点で有効な緩和策は迅速なパッチ適用のみだ」という。
公に知られている2つのバグ
CVE-2026-20805は、2026年最初のゼロデイバグであるように見える。新年最初のPatch Tuesdayに登場したもので、パッチの放出量も膨大で、MicrosoftのCVEが112件公開されている。
このうち、Microsoftはリリース時点で公に知られていたものとして、他に2件を挙げている。
その1つであるCVE-2026-21265は、セキュアブートの証明書期限切れに関するセキュリティ機能のバイパス脆弱性で、CVSS評価は6.4。Microsoftが2025年6月にこの証明書期限切れの通知を公開していたため、公知として扱われている。
2011年に発行された一部の元の証明書がまもなく期限切れとなるため、期限切れが近い証明書を使用しているデバイスの運用者は更新が必要だ。更新しない場合、OSのセキュアブート保護とセキュリティ更新を失うことになる。Childsが指摘したように、「悪用される可能性は低いものの、このバグは管理者にかなりの頭痛の種をもたらし得る」。
もう1つの公知の脆弱性であるCVE-2023-31096は、サポート対象のWindowsバージョンに同梱されているサードパーティ製Agere Modemドライバーにおける、評価7.8の特権昇格の欠陥だ。これはMicrosoftのCVEではなく、2023年に最初に文書化され(CVE-2023-31096)、MITREによって発行された欠陥に関するものだ。
10月のパッチ祭りの際、MicrosoftはこのAgere Modemドライバーのセキュリティホールが公表されたものの、まだ悪用はされていないと警告し、将来の更新で削除すると述べていた。その「将来」が今であり、1月の更新で当該ドライバーは削除された。
Childsが指摘する他の興味深いバグとしては、CVE-2026-20952(CVSS 7.7)とCVE-2026-20953(CVSS 7.4)の2件があり、いずれも解放後使用(use-after-free)のOfficeの欠陥で、未認可の攻撃者がローカルでコードを実行できる可能性がある。
Childsは「Officeのバグでプレビューペインを悪用するベクターがまた1か月続いた」と書いている。「これらのバグが悪用されていることは依然として把握していないが、積み重なっている。脅威アクターがこの種のバグをエクスプロイトに利用する方法を見つけるのは時間の問題だ。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/14/patch_tuesday_january_2026/
