Microsoft は 2026 年 2 月 10 日、CVE-2026-21510 として追跡されている Windows シェルのゼロデイ脆弱性に対する緊急パッチを発表し、警告を発しました。
この高深刻度の欠陥(CVSS スコア 8.8)は実際に悪用されており、攻撃者が主要な防御機能を回避し、警告なしに悪意のあるコードを実行することを可能にします。
ファイルエクスプローラー、ショートカット、フォルダーの中核インターフェースである Windows シェルは、SmartScreen や「Mark of the Web」(MOTW) タグなどのセキュリティチェックを処理します。
これらのフラグはダウンロードされたファイルを危険として識別し、ユーザーの同意を求めるか実行をブロックします。CVE-2026-21510 は、シェルが特定のメタデータを処理する方法の欠陥を悪用し、システムを欺いて悪意のあるファイルを信頼されたローカルファイルとして扱わせます。
攻撃者は偽装された LNK (ショートカット) ファイルまたはリンクを作成します。クリックされると、シェルは認証をスキップし、ペイロードを静かに実行します。ポップアップは表示されず、コードは完全なユーザー権限で実行されます。
この連鎖により、ユーザーアカウント制御 (UAC)、SmartScreen、およびアンチウイルスのヒューリスティックが回避されます。Microsoft Threat Intelligence Center (MSTIC) のレポートによると、実際の攻撃ではランサムウェアや情報窃取マルウェアにリンクしています。
このバグの影響範囲は広く、Windows 10 (21H2 以降)、Windows 11 (25H2 まで)、およびサーバー (2012 から 2025) に及びます。一般ユーザーはフィッシングリスクに直面し、企業はネットワーク内での横方向の移動リスクに直面します。
発見の功績は MSTIC と Google の Threat Intelligence Group に帰属します。パッチリリース後、未更新システムを標的とした悪用が急増しました。
Microsoft は即座の対応を促しています:「アクティブな悪用は優先的なパッチ適用を要求します。」更新されるまで、メールやウェブダウンロードからのショートカットを開かないようにしてください。
このゼロデイは、Windows が多層防御に依存していることを浮き彫りにしています。警戒を怠らず、フィッシング攻撃は急速に進化しています。
翻訳元: https://cyberpress.org/windows-shell-zero-day-vulnerability/