Microsoftの2026年2月のPatch Tuesdayアップデートが重大な緊急性を伴って到着し、エコシステム全体で 54件のセキュリティ脆弱性 に対処しています。
今月のリリースは、現在実際に悪用されている 6件のゼロデイ脆弱性 が含まれているため、特に深刻です。
セキュリティチームは、システムの侵害を防ぐために、これらのアップデートを直ちに優先することが求められています。
6件の活発に悪用されているゼロデイ脆弱性
今回のアップデートで最も懸念される点は、「アクティブエクスプロイト」、つまりMicrosoftが修正をリリースする前に攻撃者が既に悪用していた脆弱性の数です。
- CVE-2026-21510(Windowsシェルセキュリティ機能バイパス): この脆弱性により、攻撃者は「Mark of the Web」(MoTW)セキュリティ警告をバイパスできます。この警告は通常、インターネットからダウンロードされた危険なファイルについてユーザーに警告するものです。
- CVE-2026-21519(デスクトップウィンドウマネージャーの特権昇格): デスクトップウィンドウマネージャー(DWM)におけるタイプ混同の欠陥により、攻撃者がSYSTEMレベルの特権を取得し、事実上マシンの完全な制御を取得できます。
- CVE-2026-21533(Windowsリモートデスクトップサービスの特権昇格): リモートデスクトップサービスにおける不適切な特権管理により、認証された攻撃者が権限をSYSTEMに昇格できます。
- CVE-2026-21513(MSHTMLプラットフォームセキュリティ機能バイパス): MSHTMLエンジンにおけるこのバグにより、悪意のあるファイル(ショートカットなど)がセキュリティプロンプトをバイパスし、ユーザーの知らないうちにコードを実行できます。
- CVE-2026-21514(Microsoft Wordセキュリティ機能バイパス): 攻撃者は悪意のあるOfficeファイルを使用して、脆弱なコントロールをブロックするように設計された防御メカニズムであるOLE緩和策をバイパスできます。
- CVE-2026-21525(Windowsリモートアクセス接続マネージャーのDoS): null ポインターデリファレンスの欠陥で、サービス拒否(DoS)を引き起こすために悪用され、ユーザーのVPN接続をクラッシュさせることができます。
ゼロデイ脆弱性以外にも、Microsoftのアップデートでは数十件の他の欠陥に対処しています。
活発に悪用されているゼロデイ脆弱性
これら6件の欠陥は現在、攻撃に使用されています。直ちにパッチ適用が必要です。
| CVE ID | 脆弱性タイトル | 深刻度 | CVSS |
|---|---|---|---|
| CVE-2026-21510 | Windowsシェルセキュリティ機能バイパス | 重要 | 7.8 |
| CVE-2026-21513 | MSHTMLプラットフォームセキュリティ機能バイパス | 重要 | 7.5 |
| CVE-2026-21514 | Microsoft Wordセキュリティ機能バイパス | 重要 | 7.8 |
| CVE-2026-21519 | デスクトップウィンドウマネージャーの特権昇格 | 重要 | 7.8 |
| CVE-2026-21525 | Windowsリモートアクセス接続マネージャーのDoS | 重要 | 7.5 |
| CVE-2026-21533 | Windowsリモートデスクトップサービスの特権昇格 | 重要 | 7.8 |
重大および注目すべき脆弱性
この表には、特にExchangeやAzureなどのエンタープライズインフラストラクチャに影響する、その他の高リスクな欠陥が含まれています。
| CVE ID | 脆弱性タイトル | 深刻度 | タイプ |
|---|---|---|---|
| CVE-2026-21527 | Microsoft Exchange Serverなりすまし脆弱性 | 緊急 | なりすまし/RCEベクター |
| CVE-2026-23655 | Azure Container Instances情報漏えい | 緊急 | 情報漏えい |
| CVE-2026-21518 | GitHub Copilot/VS Codeリモートコード実行 | 重要 | RCE/コマンドインジェクション |
| CVE-2026-21528 | Azure IoT SDK脆弱性 | 重要 | リモートコード実行 |
| CVE-2026-21531 | Azure SDK脆弱性 | 重要 | リモートコード実行 |
| CVE-2026-21222 | Windowsカーネル情報漏えい | 重要 | 情報漏えい |
| CVE-2026-21249 | Windows NTLMなりすまし脆弱性 | 中 | なりすまし |
| CVE-2026-21509 | Microsoft Officeセキュリティ機能バイパス | 重要 | セキュリティ機能バイパス |
- Microsoft Exchange Server(CVE-2026-21527): エンタープライズ攻撃者にとって依然として高い価値のあるターゲットであり続けるリモートコード実行の欠陥。
- Azureサービス: Azure Data Studio、Azure Arc、Azure Front Doorで複数の欠陥が修正され、クラウド隣接インフラストラクチャを保護する必要性が強調されています。
今回のリリースで修正された54件の欠陥の概要を、影響別に分類しています。
| 脆弱性タイプ | 件数 | 主要リスク |
|---|---|---|
| 特権昇格(EoP) | 25 | 攻撃者がSYSTEM/管理者権限を取得(例:CVE-2026-21519) |
| リモートコード実行(RCE) | 12 | 重大なサーバー側の欠陥(例:Exchange、Azure) |
| なりすまし | 7 | NTLM強制とID偽装 |
| 情報漏えい | 6 | メモリまたは機密データの漏えい |
| セキュリティ機能バイパス | 5 | MoTW(Mark of the Web)またはDefenderの回避 |
| サービス拒否(DoS) | 3 | サービスのクラッシュ(例:VPNマネージャー) |
アクティブエクスプロイトの数が多いことを考えると、これは「今すぐパッチを適用する」イベントです。管理者はまず6件のゼロデイ脆弱性とExchange Serverのアップデートに焦点を当てるべきです。
互換性を確保するためにテストを迅速に実施する必要がありますが、遅延のリスクは極めて高いです。
翻訳元: https://gbhackers.com/microsoft-patch-tuesday-february-2026-fixes-54-flaws/
ソース: gbhackers.com
