SAPの製品における重大な脆弱性も修正されました。
マイクロソフトは、本日の2月のパッチチューズデーのリリースで発行された60件の修正の中から、6つの新たな積極的に悪用されている脆弱性を強調しました。
しかし、Fortraのセキュリティ研究開発のアソシエイトディレクターであるタイラー・レギュリー氏は、良いニュースがあると述べています。これらの問題は、WindowsとOfficeの定期的なマイクロソフトのパッチで簡単に解決でき、いずれもパッチ適用後の設定手順を必要としません。
それでも、CSOは6つのうち3つがセキュリティ機能のバイパスに関わることを認識しておく必要があります:
- CVE-2026-21510、Windowsシェルにおける保護メカニズムの失敗により、権限のない攻撃者がネットワーク経由でセキュリティ機能をバイパスできます。この脆弱性をうまく悪用するには、攻撃者はユーザーに悪意のあるリンクまたはショートカットファイルを開くよう説得する必要があります。その後、攻撃者はWindowsシェルコンポーネントの不適切な処理を悪用することで、Windows SmartScreenとWindowsシェルのセキュリティプロンプトをバイパスし、ユーザーの警告や同意なしに攻撃者が制御するコンテンツを実行させることができます;
Action1の脆弱性研究ディレクターであるジャック・ビサー氏は、これがWindowsベースのネットワークに対する最も緊急のリスクであると述べています。「確認された積極的な悪用は、敵対者がこの弱点を利用してマルウェアとペイロードを大規模に配信していることを示しています」と彼はCSOに語りました。「Windowsシェルは企業全体で普遍的に使用されているため、この脆弱性はユーザーの信頼制御を著しく損ない、フィッシングキャンペーンの有効性を実質的に高めます。」 - CVE-2026-21513、MSHTMLフレームワークのセキュリティバイパス。フレームワークにおける保護メカニズムの失敗により、権限のない攻撃者がネットワーク経由でセキュリティ機能をバイパスできます。攻撃者は、リンク、メールの添付ファイル、またはダウンロードを通じて配信される悪意のあるHTMLファイルまたはショートカット(.lnk)ファイルをユーザーに開くよう説得することで、この脆弱性を悪用できます。特別に細工されたファイルがブラウザとWindowsシェルの処理を操作し、そのコンテンツがオペレーティングシステムによって実行されるようにします。これにより、攻撃者はセキュリティ機能をバイパスし、潜在的にコード実行を達成できます;
- CVE-2026-21514、Microsoft 365とMicrosoft OfficeにおけるOLE緩和策をバイパスする脆弱性で、脆弱なCOM/OLEコントロールからユーザーを保護します。これを悪用するには、攻撃者はユーザーに悪意のあるOfficeファイルを送信し、それを開くよう説得する必要があります。プレビューペインは攻撃経路ではありません。
同様に懸念されるのは、積極的に悪用されている欠陥のうち2つが、アクセス権限をシステムレベルに昇格させることを可能にすることです。
- CVE-2026-21519、デスクトップウィンドウマネージャーの穴で、攻撃者がアクセス権限を昇格させることを可能にする可能性があります;
- CVE-2026-21533、Windowsリモートデスクトップサービスの権限管理における脆弱性で、権限を持つ攻撃者がローカルで権限を昇格させることを可能にします。
Tenableのシニアスタッフリサーチエンジニアであるサトナム・ナラン氏は、CVE-2026-21510、CVE-2026-21513、CVE-2026-21514がCSOの対応リストの最上位にあるべきだと述べました。「これらの脆弱性がバイパスする保護メカニズムは、ユーザーが悪意のある添付ファイルを開くのを防ぐ最初の防衛線であることが多い」と彼は説明しました。「それらはアスガルドを守るヘイムダルのように門番として機能します。」
最後に、6番目の積極的に悪用されている穴、CVE-2026-21525は、Windowsリモートアクセス接続マネージャーにあります。これにより、権限のない攻撃者がローカルでサービス拒否を引き起こすことができる可能性があります。Ivantiの製品管理担当バイスプレジデントであるクリス・ゲットル氏は、この脆弱性が現在サポートされているすべてのバージョンとESUサポート対象のWindowsに影響を与えると指摘しています。リスクベースの優先順位付け手法は、この脆弱性をベンダーの評価やCVSSスコアよりも高い深刻度として扱うことを正当化すると彼は述べました。
パッチチューズデーのリリースで特定された他の脆弱性については、Action1のビサー氏がAzureクラウド環境に関わる2つを強調しました。彼は、CSOがクラウドチームに緊急に対処させるべきだと述べました:
- CVE-2026-21522、Azure Compute Galleryにおけるコマンドインジェクションの問題。マイクロソフトはこれをACI機密コンテナ特権昇格脆弱性と呼んでおり、機密コンテナワークロード内でコマンドインジェクションリスクをもたらします。まだ野生での悪用は観察されていませんが、ビサー氏は、概念実証コードが実世界での悪用可能性を確認し、機密コンピューティングの信頼の前提に挑戦していると述べました;
- CVE-2026-21655、平文ストレージの穴。マイクロソフトはこれをACI機密コンテナ情報漏洩脆弱性と呼んでいます。ビサー氏は、修正されなければ、積極的な悪用がなくても、より広範なクラウド侵害への潜在的な経路を生み出す可能性があると述べました。
Immersiveのサイバー脅威研究のシニアディレクターであるケヴ・ブリーン氏は、本日のリリースには、GitHub CopilotとVS Code、Visual Studio、JetBrains製品を含む複数のIDEに影響を与えるリモートコード実行脆弱性のためのいくつかのパッチも含まれていると指摘しました。
マイクロソフトのAIアシスタントであるCopilotは、これらの開発者環境に統合されており、ブリーン氏によると、脆弱性はプロンプトインジェクションを通じてトリガーできるコマンドインジェクションの欠陥に起因しています。実際には、脅威アクターがコードベースに悪意のあるプロンプトを埋め込み、開発者またはCI/CDパイプラインがプロンプトに含まれるコマンドを実行するエージェントワークフローを使用する場合、リモートコード実行につながる可能性があります。これは通常の制限をバイパスし、バックエンドコンポーネントや統合ツールが意図しないコマンドを実行する原因となります。
開発者は脅威アクターにとって価値の高いターゲットであると彼は説明しました。なぜなら、彼らはしばしばAPIキーや重要なインフラストラクチャへの鍵として機能するシークレットなどの機密データにアクセスできるからです。これには、特権的なAWSまたはAzure APIキーが含まれます。組織が開発者と自動化パイプラインにLLMとエージェントAIの使用を許可すると、悪意のあるプロンプトが重大な影響を与える可能性があります。
「これは組織がAIの使用を停止すべきだという意味ではありません」とブリーン氏は述べました。「これは、開発者がリスクを理解し、チームがどのシステムとワークフローがAIエージェントにアクセスできるかを明確に特定し、開発者のシークレットが侵害された場合の爆発半径を制限するために最小権限の原則を適用すべきだということを意味します。」
スタンフォード大学の国際安全保障協力センターの研究学者であり、元ホワイトハウスのサイバー政策のシニアディレクターであるアンドリュー・グロット氏は、マイクロソフトの脆弱性の実績について懸念しています。彼は、今回のパッチチューズデーが先月の広範なMicrosoft 365の停止に続くものであり、北米全体の組織を混乱させ、コアエンタープライズサービスへのアクセスができなくなったと指摘しました。
「その事件は、本日開示された脆弱性とともに、重要なサービスのために少数のテクノロジープロバイダーへの依存が米国経済と国家安全保障にもたらすシステミックリスクを強調しています」と彼は電子メールで述べました。
「完璧なコードは達成不可能な目標ですが、『何よりもセキュリティを優先する』と主張するベンダーにとって、測定可能な改善は目標であるべきです。そして、これらのレポートの長年にわたる振り返りから、明らかな改善の証拠は見られません。私たちは皆、なぜなのかを問うべきです。」
重大なSAPの脆弱性
また本日、SAPは27件の新規および更新されたセキュリティノートをリリースしました。これには、重大度の高い脆弱性に対処する2件が含まれています。PathwayのSAPセキュリティアナリストであるジョナサン・ストロス氏は、SAP CRM / SAP S/4HANA(スクリプティングエディター)におけるコードインジェクションの穴、3697099(CVE-2026-0488)に注目を集めました。CVSSスコアは9.9です。
影響を受ける機能は、コールセンターなどの多くの大規模で確立されたSAP CRMランドスケープで一般的に使用されています。
根本的な欠陥は、不正な重要機能を実行するために悪用される可能性のある汎用機能モジュール呼び出しパスであると彼は述べました。現実的な攻撃チェーンは、攻撃者がフィッシング、パスワードの再利用、またはエンドポイントの侵害を通じて標準CRMユーザーを侵害することから始まる可能性があります。その後、攻撃者はスクリプティングエディター関連の機能にアクセスし、汎用呼び出しの欠陥を利用します。最後に、不正なデータベースレベルのアクション(SQL)を実行し、広範な制御をもたらします。制御が達成されると、攻撃者はデータベースを侵害し、データを盗んだり変更したり、持続層でCRM/S/4データを操作することで運用を混乱させたりできます。
ストロス氏はまた、リモートファンクションコール(RFC)実行パスの欠落した認可実施の脆弱性、3674774(CVE-2026-0509)を指摘しました。 CVSSスコアは9.6です。これはRFC(バックグラウンドRFCを含む)に影響し、統合、バックグラウンド処理、クロスシステム通信の基盤であり、NetWeaver AS ABAP / ABAPプラットフォーム全体に影響を与えると彼は述べました。
潜在的な攻撃シナリオでは、ユーザーアカウントに足がかりを持つ攻撃者がRFCメカニズムを利用して、S_RFCによってブロックされるべきリモート対応機能を実行します。広範なRFC信頼とレガシーの許可的な役割を持つランドスケープでは、これはシステム操作や運用の混乱への足がかりになる可能性があります。成功した場合、攻撃者はRFC操作の不正実行、RFC対応機能を通じたデータまたはプロセスの操作、および影響の大きいRFC操作を通じたサービス妨害を引き起こす可能性があります。
