TokyoBlackHatNews

esecurityplanet.com 4分で読了

Microsoft、Officeのアクティブなゼロデイに対する緊急パッチを公開

Microsoftは、Microsoft Officeで実際に悪用されているゼロデイ脆弱性を修正するため、緊急の帯域外(out-of-band)セキュリティ更新プログラムをリリースしました。 

この欠陥により、脅威アクターは、フィッシングやソーシャルエンジニアリングで配布されることが多い悪意のあるファイルをユーザーに開かせることで、Officeに組み込まれたセキュリティ保護を回避できます。

この脆弱性は「…Microsoft Officeにおいて、権限のない攻撃者がローカルでセキュリティ機能を回避できる」ものであると、Microsoftはアドバイザリで述べています

Office OLEバイパスの内部

CVE-2026-21509は、Microsoft OfficeがObject Linking and Embedding(OLE)のセキュリティ保護を適用する方法の弱点に起因します。これらの保護は、Office文書内に埋め込まれたCOM/OLEコンポーネントがもたらすリスクを制限するために設計されています。 

OLEにより、文書はスプレッドシート、スクリプト、ActiveXコントロールなど、コードを実行したりオペレーティングシステムとやり取りしたりできる外部オブジェクトを埋め込んだりリンクしたりできます。 

これらのコンポーネントは歴史的に悪用されてきたため、Officeの最新バージョンでは、信頼性チェック、互換性フラグ、セキュリティポリシーなど複数の保護策が適用され、特定のOLEオブジェクトをブロックするか、サンドボックス化するか、実行を許可するかが判定されます。

CVE-2026-21509の場合、攻撃者は、Officeがこれらの信頼判定を行うために使用するロジックに対して、悪意を持って構成された入力値を与えるOffice文書を作成できます。 

文書が埋め込みCOM/OLEコントロールを参照または初期化する方法を操作することで、攻撃者はOfficeに信頼されていないオブジェクトを安全だと誤分類させ、意図された緩和策を事実上回避します。 

その結果、文書が信頼できないソースに由来しているにもかかわらず、Officeは通常の制限を適用せずに、脆弱または安全でないOLEコンポーネントを読み込んだり操作したりする可能性があります。

ユーザーが悪意のあるファイル(通常はフィッシングで配布)を開くと、回避されたOLE保護により、埋め込みオブジェクトは意図よりも許容的なコンテキストで実行されます。 

これにより、本来はブロックされるはずのコード実行経路が成立し、攻撃者は悪意のあるロジックを実行したり、永続化を確立したり、追加のペイロードを段階的に投入したりできます。 

Microsoftはこの脆弱性にCVSSスコア7.8を割り当て、脅威アクターによって実際に悪用されていることを確認しています。

Officeエクスプロイトによるリスクの低減

CVE-2026-21509は積極的に悪用されているため、組織は速やかに対処するとともに、二次的なリスクを低減する制御策も適用すべきです。 

パッチ適用が主要な緩和策ですが、補完的なハードニングと監視の対策により、展開期間中の露出を抑えることができます。 

  • パッチを、影響を受けるすべてのMicrosoft Officeバージョンに直ちに適用し、更新プログラムを展開できないOffice 2016および2019ではレジストリベースの緩和策を適用する。
  • Officeのビルドバージョンを確認し、アプリケーションを再起動して、サービス側の保護が完全に適用されていることを確実にする。
  • 保護されたビュー、Mark of the Web、およびOffice文書のサンドボックス化を強制して、メール添付ファイルの取り扱いを強化する。
  • Attack Surface Reductionルールを適用し、レガシーCOM/OLEおよびActiveXの挙動を制限して、エクスプロイト経路を抑制する。
  • 異常なOffice、COM、またはOLEの活動およびフィッシングで配布された文書の実行について、EDRでエンドポイントを監視する。
  • ローカル権限を制限して影響範囲(blast radius)を縮小し、高リスクのユーザーグループにより厳格な制御を適用する。
  • バックアップを検証し、Officeゼロデイ悪用に対する封じ込めと復旧のワークフローを含め、インシデント対応計画を定期的にテストする。

これらの手順は、即時の是正と、Officeベースの攻撃に対するレジリエンスを強化する実用的な制御策を組み合わせた、バランスの取れたアプローチを提供します。

CVE-2026-21509は、攻撃者が信頼された形式とユーザー操作を悪用できる場合、Office文書が依然として信頼性の高い初期侵入ベクターであることを改めて示しています。

ここでゼロトラストのアプローチが重要となり、ファイルやユーザーをデフォルトで信頼するのではなく、挙動とアクセスを継続的に検証することへと焦点を移します。

翻訳元: https://www.esecurityplanet.com/threats/microsoft-issues-emergency-patch-for-active-office-zero-day/

ソース: esecurityplanet.com
#COM #CVE-2026-21509 #EDR #Microsoft #Microsoft Office #OLE #ゼロデイ脆弱性 #ゼロトラスト #フィッシング #緊急パッチ

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布