Microsoftは、セキュリティ機能を回避するために悪用可能な、新たに公開されたOfficeのゼロデイ脆弱性CVE-2026-21509に対するパッチをリリースした。
同社のCVE-2026-21509に関するアドバイザリでは、現在進行中の悪用を把握していると述べている。
この脆弱性と実際の攻撃(in-the-wild)はMicrosoft社内のセキュリティ研究者によって発見されたが、同社は悪意ある活動に関する情報をまだ一切共有していない。
Microsoftによるゼロデイの説明によれば、「Microsoft Officeにおけるセキュリティ判断で信頼できない入力に依存しているため、認可されていない攻撃者がローカルでセキュリティ機能を回避できる」という。
同社はまた、この脆弱性が「脆弱なCOM/OLEコントロールからユーザーを保護するMicrosoft 365およびMicrosoft OfficeのOLE緩和策を回避する」ことも明確にした。
悪用には、攻撃者が標的ユーザーをだまして悪意あるOfficeファイルを開かせる必要がある。
ソーシャルエンジニアリングが必要であることに加え、エクスプロイトの複雑さや多段階の攻撃チェーンが必要となる可能性を踏まえると、このゼロデイは広範で機会主義的なキャンペーンではなく、標的型の諜報活動やその他の高価値オペレーションに利用されていることを示唆している。
SecurityWeekは追加情報を求めてMicrosoftに問い合わせており、同社から回答があれば本記事を更新する予定だ。
Microsoftは、2016、2019、LTSC 2024、LTSC 2021、Microsoft 365 Apps for Enterpriseを含む、影響を受けるすべてのOfficeバージョン向けにパッチをリリースした。
Officeのインストールを直ちに更新できないユーザー向けの緩和策も提供されている。
サイバーセキュリティ機関CISAは、CVE-2026-21509を既知の悪用済み脆弱性(KEV)カタログに追加し、政府機関に対して2月16日までに対処するよう指示した。
Microsoftの2026年1月のPatch Tuesday更新では、ベンダー自身の研究者によって悪用が発見されたWindowsのゼロデイを含む、110件超の脆弱性が修正された。これらの攻撃についても情報は共有されていない。
翻訳元: https://www.securityweek.com/microsoft-patches-office-zero-day-likely-exploited-in-targeted-attacks/
