米国政府機関は、MicrosoftのDesktop Windows Managerに影響する脆弱性について、脅威アクターによってこのバグが悪用されていることが確認されたことを受け、修正(パッチ適用)を命じられた。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は火曜日、この脆弱性(CVE-2026-20805)を、悪用が確認されたバグのカタログに追加した。
これは、Microsoftが2026年最初のPatch Tuesday(定例更新)で 公開 した113件の脆弱性のうちの1つだった。
連邦政府の民間機関は、2月3日までにこの脆弱性を修正する必要がある。Desktop Windows Manager(DWM)は、Microsoftデスクトップ上の視覚効果やその他さまざまな機能を有効にする。これは、ユーザーの画面上でウィンドウがどのように表示されるかに関わる重要な要素だ。
Immersiveのサイバー脅威リサーチ担当シニアディレクターであるKev Breen氏は、このバグの深刻度スコアが10点中5.5と低い一方で、この欠陥は情報漏えいにつながると述べた。
「この種の脆弱性は、バッファオーバーフローやその他のメモリ操作型エクスプロイトから保護するために設計された、OSの中核的なセキュリティ制御であるアドレス空間配置のランダム化(ASLR)を無力化する目的で一般的に利用されます」と同氏は説明した。
「メモリ上でコードが存在する場所を明らかにすることで、この脆弱性は別のコード実行の欠陥と連鎖させることができ、複雑で信頼性の低いエクスプロイトを、実用的で再現可能な攻撃へと変えてしまいます。」
同氏は、Microsoftがエクスプロイトチェーンに関与する可能性のある追加コンポーネントを明らかにしておらず、「防御側が関連する活動を能動的に脅威ハンティングする能力を大きく制限している」と指摘した。
TenableのSatnam Narang氏は、CVE-2026-20805の悪用には攻撃者が標的システムへのローカルアクセスを持っている必要があると付け加えた。Narang氏はRecorded Future Newsに対し、DWMはPatch Tuesdayで「常連」であり、2022年以降に20件のCVEが修正されていると語った。しかし、このコンポーネントにおける情報漏えいのバグが実環境で悪用されたのは今回が初めてだ。
AutomoxのRyan Braunstein氏によれば、DWMプロセスは業務上必要なため高い権限で動作しており、そのため攻撃者は悪用に管理者権限を必要としない。
Braunstein氏は、攻撃者はウィンドウを描画できるあらゆるアプリケーションを利用して脆弱性をトリガーし、その後、情報漏えいを用いてさらなる攻撃のためのデータを収集する可能性が高いと述べた。
CISAは2026年に、既知の悪用されている脆弱性(Known Exploited Vulnerabilities)カタログに、他にも3件のバグを追加している。
翻訳元: https://therecord.media/desktop-windows-manager-vulnerability-added-to-cisa-list
