管理者が1月のWindows更新プログラムの展開をようやく開始したばかりの中、最新の脆弱性がすでに実環境で武器化されています。MicrosoftとCISAは緊急の勧告を発出し、最新のパッチサイクルと同時に開示された欠陥が現在進行中の攻撃に利用されていると指摘しました。そのため、修正の先延ばしは推奨されません。
問題の脆弱性はCVE-2026-20805として指定されています。この欠陥により、認証済みの攻撃者は、リモートのAdvanced Local Procedure Call(ALPC)ポートを介してメモリアドレスの漏えいを引き起こすことが可能になります。初見では脅威が小さいように見えるかもしれません—CVSSスコアが5.5であることにもそれが表れています—しかし、セキュリティ専門家は、この種の漏えいがしばしば攻撃チェーンにおける重要な結節点となることを強調しています。メモリアドレスを露出させることで、攻撃者は後続の手口を組み立てられ、別の欠陥と組み合わせて任意コード実行を達成する可能性があります。
Trend Microは、典型的な攻撃シナリオを明確に示しています。流出したアドレスは、目的がシステム侵害へとエスカレートする第2段階で活用されます。同様に、Immersiveのアナリストは、この種の脆弱性がアドレス空間配置のランダム化(ASLR)を回避するうえで有用であると説明しました。OSの主要な防御要塞の一つとして、ASLRは設計上、バッファオーバーフローの侵入やメモリ操作を困難にすることを目的としています。攻撃者がメモリ内のコードの正確な位置を突き止めると、本来は複雑で不安定なエクスプロイトが、信頼性が高く再現可能な攻撃へと変貌し得ます。
パッチの公開直後、CISAはCVE-2026-20805を「既知の悪用されている脆弱性(Known Exploited Vulnerabilities)」カタログに追加しました。この指定により、米国の連邦機関は厳格な期限内に当該侵害を解消することが求められ、最終期限は2月3日とされています。同庁は、この種の脆弱性が脅威アクターによって恒常的に悪用され、政府インフラに重大なリスクをもたらすと強調しました。
攻撃者の正体や悪用の地理的な広がりは、依然として不明瞭なままです。Microsoftが攻撃に関する具体的なフォレンジック詳細を明らかにしていないことから、防御チームはこれらの修正を直ちに適用することを最優先とすべきです。
翻訳元: https://meterpreter.org/blinding-aslr-new-windows-zero-day-exploited-to-leak-memory/
