Microsoftは、ゼロデイの欠陥がすでに現実世界の攻撃で利用されていることを確認したうえで、緊急のOfficeパッチを公開した。
CVE-2026-21509として追跡され、CVSSスコア7.8が付けられたこの欠陥は、Microsoftの分類で「セキュリティ機能の回避」に該当する。実際には、攻撃者が、本来は安全でないレガシーコンポーネントの実行を止めるための保護をすり抜けられることを意味する。そうしたコンポーネントにはCOMやOLEが含まれる。これらは長年にわたり文書ベースの攻撃の中心にあった古いWindowsの基盤であり、明らかにまだ引退できていない。
Microsoftによれば、悪用はOfficeのプレビューペイン(過去のキャンペーンでしばしば危険信号となってきた)に依存しないが、それでも被害者が罠を仕込まれたファイルを開くよう誘導されれば、ほとんど手間なく成立するという。同社はアドバイザリで、この問題を「セキュリティ上の判断における信頼できない入力への依存」の事例だと説明している。要するに、Officeが本来すべきでないことをするよう言いくるめられてしまう、という婉曲表現だ。
「Microsoft Officeにおけるセキュリティ上の判断で信頼できない入力に依存することにより、権限のない攻撃者がローカルでセキュリティ機能を回避できる」とMicrosoftは述べた。「攻撃者は悪意のあるOfficeファイルをユーザーに送付し、それを開くよう説得しなければならない。」
この欠陥は、Office 2016および2019からLTSCリリース、Microsoft 365 Apps for Enterpriseに至るまで、現在のOfficeビルドの大半に影響する。新しいバージョン向けの更新は公開されているが、Office 2016または2019をまだ使用している人は待つしかない。Microsoftは、これらのエディション向けの修正はまだ準備できておらず、「できるだけ早く」提供するとしている。
それまでの間、Redmond(Microsoft)は、悪用リスクを低減できるという緩和策を影響を受ける顧客に示している。具体的には、Windowsレジストリで特定のCOM Compatibilityキーを追加し、Compatibility FlagsのDWORD値を設定することで、脆弱なCOMおよびOLEコントロールを手動でブロックするというものだ。多くの組織にとって、こうした回避策を大規模に一貫して展開するのは難しい類いのものだ。
Microsoftは、CVE-2026-21509がどのように悪用されているかについて口を閉ざしており、攻撃キャンペーン、被害者像、影響に関する詳細は一切明かしていない。同社は、この問題の発見者としてMicrosoft Threat Intelligence Center、Microsoft Security Response Center、Office Product Group Security Teamを挙げている。
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、この欠陥を迅速に既知の悪用されている脆弱性(Known Exploited Vulnerabilities)カタログに追加し、連邦政府の民間行政機関(FCEB)に対して、利用可能な修正を2月16日までに適用するよう期限を設けた。
このパッチは、すでに攻撃下にある別のWindowsの不具合であるCVE-2026-20805についてMicrosoftが警鐘を鳴らしてからわずか数日後に提供されたもので、2026年に不穏なほど見慣れた感覚をもたらしている。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/27/office_zeroday_exploited_in_the/
