Microsoftは、攻撃で悪用されている重大度の高いMicrosoft Officeのゼロデイ脆弱性を修正するため、緊急の帯域外(OOB)セキュリティ更新プログラムを公開しました。
CVE-2026-21509として追跡されているこのセキュリティ機能バイパスの脆弱性は、Microsoft Office 2016、Microsoft Office 2019、Microsoft Office LTSC 2021、Microsoft Office LTSC 2024、そしてMicrosoft 365 Apps for Enterprise(同社のクラウドベースのサブスクリプションサービス)を含む複数のOfficeバージョンに影響します。
ただし、本日のアドバイザリで述べられているとおり、Microsoft Office 2016および2019向けのセキュリティ更新プログラムはまだ提供されておらず、可能な限り早くリリースされる予定です。
プレビューウィンドウは攻撃ベクターではないものの、認証されていないローカル攻撃者は、ユーザーの操作を必要とする低難度の攻撃により、この脆弱性を依然として悪用できてしまいます。
「Microsoft Officeにおけるセキュリティ判断で信頼できない入力に依存しているため、権限のない攻撃者がローカルでセキュリティ機能を回避できてしまいます。攻撃者はユーザーに悪意のあるOfficeファイルを送信し、それを開くよう説得する必要があります」とMicrosoftは説明しています。
「この更新プログラムは、Microsoft 365およびMicrosoft OfficeにおけるOLE緩和策を回避する脆弱性に対処します。これらの緩和策は、脆弱なCOM/OLEコントロールからユーザーを保護します。」
Office 2016および2019のユーザーは直ちに攻撃に対してシステムへパッチを適用できないものの、Microsoftは「悪用の深刻度を低減できる」可能性がある、分かりにくい緩和策を提示しています。
以下の手順で分かりやすく整理しました:
- すべてのMicrosoft Officeアプリケーションを閉じます。
- Windowsレジストリを誤って編集するとオペレーティングシステムに問題が生じる可能性があるため、Windowsレジストリのバックアップを作成します。
- スタートメニューをクリックしてregeditと入力し、検索結果に表示されたらEnterキーを押して、Windowsレジストリエディター(regedit.exe)を開きます。
- 開いたら、上部のアドレスバーを使用して、次のいずれかのレジストリキーが存在するか確認します:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ (64ビットOffice、または32ビットWindows上の32ビットOfficeの場合) HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ (64ビットWindows上の32ビットOfficeの場合) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\上記のキーのいずれかが存在しない場合は、Commonを右クリックしてNew -> Keyを選択し、このレジストリパス配下に新しい「COM Compatibility」キーを作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\ - 次に、既存または新規作成したCOM Compatibilityキーを右クリックし、New -> Keyを選択して、名前を{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}にします。
- 新しい{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}が作成されたら、それを右クリックし、New -> DWORD (32-bit) Valueを選択します。新しい値の名前をCompatibility Flagsにします。
- Compatibility Flags値が作成されたら、それをダブルクリックし、Value dataフィールドに400を入力します。
これらの手順を実行すると、次回Officeアプリケーションを起動した際に、この欠陥は緩和されます。
Microsoftは、この脆弱性を発見した人物や悪用方法の詳細を共有しておらず、BleepingComputerが本日早くに問い合わせた時点では、広報担当者はすぐにはコメントできませんでした。
今月初め、2026年1月のPatch Tuesdayの一環として、Microsoftは114件の欠陥に対するセキュリティ更新プログラムを公開しました。これには、実際に悪用されているゼロデイ1件と、公に開示されていたゼロデイバグ2件が含まれます。
今月修正された、もう1つの実際に悪用されているゼロデイは、デスクトップ ウィンドウ マネージャー(Desktop Window Manager)における情報漏えいの欠陥で、Microsoftはこれを「重要(important severity)」と分類しています。これにより攻撃者は、リモートALPCポートに関連付けられたメモリアドレスを読み取れる可能性があります。
先週、Microsoftはまた、1月のPatch Tuesday更新プログラムによって引き起こされたシャットダウンおよびCloud PCのバグを修正するために複数の帯域外Windows更新プログラムをリリースしたほか、従来のOutlookメールクライアントがフリーズまたはハングする問題に対処するための別の緊急更新プログラム一式も公開しました。
