Microsoftの2026年2月のパッチチューズデーアップデートでは、同社製品で発見された約60の脆弱性が修正されており、その中には積極的に悪用されている6つのゼロデイ脆弱性が含まれています。
ゼロデイ脆弱性は以下の通りです:
- CVE-2026-21510:Windows SmartScreenおよびWindows Shellのセキュリティプロンプトのバイパス脆弱性で、標的ユーザーに悪意のあるリンクやショートカットファイルを開かせることで悪用される可能性があります。
- CVE-2026-21514:攻撃者が悪意のあるOfficeファイルを開かせることで、Microsoft 365およびOfficeのOLE緩和策をバイパスできる脆弱性です。
- CVE-2026-21513:Internet Explorerの問題で、攻撃者が被害者に悪意のあるHTMLまたはLNKファイルを開かせることで、セキュリティ制御をバイパスし、コードを実行する可能性があります。
- CVE-2026-21519:Windows Desktop Window Managerの欠陥で、ローカル攻撃者が権限昇格に悪用できます。
- CVE-2026-21533:Windowsリモートデスクトップサービスの脆弱性で、攻撃者がシステム権限に昇格できます。
- CVE-2026-21525:Windowsリモートアクセス接続マネージャーのバグで、ローカルDoS攻撃に悪用される可能性があります。
これらのゼロデイ脆弱性を悪用する攻撃に関する公開情報はないようです。
ただし、CVE-2026-21510とCVE-2026-21514の両方について、Microsoftは発見者としてGoogle Threat Intelligence Group(GTIG)、自社のセキュリティチーム、および匿名の研究者をクレジットしています。CVE-2026-21513はMicrosoftとGTIGによって発見されました。
これは、これらの脆弱性の一部が同じ脅威アクターによって、または同じ攻撃で悪用された可能性があることを示唆しています。Googleは商用スパイウェアベンダー、国家支援型APT、および利益目的のサイバー犯罪者による攻撃を追跡していますが、国家支援型ハッカーがこれらのタイプのゼロデイ脆弱性を含むキャンペーンの背後にいることがよくあります。
CVE-2026-21510、CVE-2026-21514、およびCVE-2026-21513は、Microsoftのアドバイザリで「公開済み」としてフラグが付けられています。
CVE-2026-21519はMicrosoft自身の研究者によって発見されました。この技術大手企業は、CVE-2026-21533の発見についてサイバーセキュリティ企業CrowdStrikeに、CVE-2026-21525についてはAcros Securityにクレジットしています。
SecurityWeekは、ゼロデイ脆弱性を悪用する攻撃に関する情報について、AcrosとCrowdStrikeの両方に問い合わせており、返答があればこの記事を更新します。
WindowsとOfficeに加えて、MicrosoftはAzure、Windows Defender、Exchange Server、.NET、GitHub Copilot、Edge、Power BIの脆弱性にパッチを適用しました。
