Microsoft、積極的に悪用されている6つのゼロデイ脆弱性にパッチを提供

出典: mayam_studio via Shutterstock

攻撃者は、Microsoftが最新のセキュリティ更新プログラムで開示した59件の脆弱性のうち、すでに6件を積極的に悪用しています。つまり、セキュリティチームは2月のパッチチューズデーを単なる定期メンテナンスではなく、積極的な防御活動として扱う必要があります。

6つのゼロデイ脆弱性のうち3つは、異なるMicrosoft製品におけるセキュリティ機能バイパスの欠陥です。これは組織にとって特に厄介です。なぜなら、攻撃者が組織が依存している組み込みの保護機能をすり抜ける方法を提供するためです。Microsoftはゼロデイ脆弱性の1つに対して帯域外パッチを発行し、その緊急性を強調しました。

残りの積極的に悪用されているバグのうち2つは、攻撃者が影響を受けるシステムで管理者レベルの権限を取得できる権限昇格の問題であり、残りのバグはサービス拒否攻撃を可能にします。

これだけでも管理者を忙しくさせるのに十分ですが、Microsoftは今週開示した他の5つのCVEを、攻撃者が悪用する「可能性が高い」バグとして評価しました。これは、Microsoftが、エクスプロイトコードが比較的迅速に開発される可能性がある、または複雑さがほとんどなく悪用できる、または攻撃者にとって価値の高いターゲットに影響を与えるバグに対して使用する用語です。

セキュリティ機能バイパスのバグ

Microsoftの2月の更新プログラムにおける3つのセキュリティ機能バイパスの脆弱性は、CVE-2026-21510、CVE-2026-21513、CVE-2026-21514です。バグの技術的な詳細はすでに公開されており、これは通常、すぐに多くの攻撃が続くことを意味します。

CVE-2026-2150 (CVSS 8.8) は、Microsoftによると、攻撃者がWindows ShellとWindows SmartScreenをバイパスし、警告やユーザーの同意なしに被害者のシステム上で任意のコードを実行できるようにします。この欠陥を悪用するには、攻撃者はまずユーザーに悪意のあるファイルや行を操作させる必要があります。

CVE-2026-21513 (CVSS 8.8) は、MicrosoftのMSHTMLフレームワークに影響します。攻撃者は、ユーザーを騙して特別に細工されたHTMLファイルまたはショートカットリンクを開かせ、ブラウザとオペレーティングシステムを騙してデータとして扱うのではなく、コードのように実行させることで、この欠陥を悪用できます。

3つ目のセキュリティ機能バイパスのゼロデイ、CVE-2026-21514 (CVSS 7.8) は、Microsoft Wordに影響し、悪用が成功するには再びユーザーの操作が必要です。この場合、攻撃者がユーザーを騙して悪意のあるWord文書を開かせると、Microsoft 365およびMicrosoft OfficeのOLEセキュリティ制御をバイパスして任意のコードを実行できます。Microsoftは、1月26日に積極的な悪用活動の報告を受けて、Officeの類似の脆弱性CVE-2026-21509に対して緊急の帯域外パッチを発行しました。

「セキュリティ機能バイパスの脆弱性は、フィッシングやマルウェアキャンペーンの成功率を大幅に高めます」と、Action1の脆弱性研究ディレクターであるJack Bicerは準備されたコメントで述べています。「エンタープライズ環境では、この欠陥は、不正なコード実行、マルウェアの展開、認証情報の盗難、システムの侵害につながる可能性があります。」

組織にとって修復をさらに緊急にしているのは、影響を受けるコンポーネントの広範な普及です。Wordは広く使用されており、すでに頻繁に標的にされていますが、MSHTMLはWindowsエコシステムでHTMLコンテンツをレンダリングするためのコアコンポーネントです。

同様に、攻撃者がSmartScreenとWindows Shellの保護をバイパスできるCVE-2026-2150のような脆弱性は、より効果的なマルウェア配信とフィッシングキャンペーンを可能にするため危険です、とAction1の社長兼共同創設者であるMike Waltersは指摘しました。「組織は、不正なコード実行、マルウェア感染、認証情報の盗難、ネットワーク内の横方向の移動に直面する可能性があります」と、彼は電子メールのコメントで述べています。「Windows Shellはほぼすべてのユーザーが使用するコアコンポーネントであるため、攻撃対象領域は広く、パッチを適用しないと完全に制限することは困難です。」

2つの権限昇格と1つのDoSゼロデイ

他の2つのゼロデイ — CVE-2026-21519、CVE-2026-21525、CVE-2026-21533として追跡 — は、それぞれDesktop Windows Manager、Windows Remote Access Connection Manager、Windows Remote Desktop Servicesに影響します。

CVE-2026-21519 (CVSS 6.2) とCVE-2026-21533は、どちらも攻撃者がシステム上で管理者レベルのアクセスに権限を昇格させることを可能にします。

CVE-2026-21525 (CVSS 6.2) は、Windows Remote Access Connection Managerにおいて、攻撃者がローカルでサービス拒否状態を引き起こすことを可能にします。「標準の非管理者ユーザーとして足場を持つ攻撃者は、RASマネージャーサービスをクラッシュさせる小さなスクリプトを実行できます」と、AutomoxのセキュリティマネージャーであるRyan Braunsteinは準備された声明で説明しました。「攻撃には昇格された権限は必要なく、フィッシングまたは悪意のあるブラウザ拡張機能を介した初期アクセス後にトリガーできます」と彼は指摘しました。この脆弱性はデータの盗難やコード実行を可能にしませんが、「その混乱の可能性は重大です」とBraunsteinは付け加えました。

Microsoftが今月開示した59件のバグは、1月の112件のCVEよりもはるかに少ないです。しかし、それはインパクトが少ないということではありません。「良いニュースは、対処すべきCVEがそれほど多くないことです。悪いニュースは、実際にはここには解明すべきことがたくさんあることです」と、FortraのセキュリティR&DアソシエイトディレクターであるTyler Regulyは準備されたコメントで述べました。

彼は、攻撃者がすでに積極的に悪用しているバグに加えて、セキュリティチームが注意を払うべき脆弱性として、特にAzureの10件のCVEを指摘しました。「これらのうち3つ(CVE-2026-21532 [CVSS 8.2]、CVE-2026-24300 [CVSS 9.8]、CVE-2026-24302 [CVSS 8.6])はすべて「顧客の対応は不要」とマークされていますが、私のクラウド環境 — またはクラウドに隣接する環境 — に問題の証拠がないことを確認したいと思います」とRegullyは電子メールの声明で述べました。「ただし、他の7つのCVEについては、環境をアップグレードするために実行する必要があるさまざまな修正を私のチームが注意深く検討していることを期待します。」