Microsoftは、攻撃者がセキュリティ機能をバイパスすることを可能にする、MSHTMLフレームワークにおける新たなゼロデイ脆弱性を開示しました。これは世界中の組織に重大なリスクをもたらします。
CVE-2026-21513として追跡されているこの脆弱性は、2026年2月10日に公開され、既に実際に悪用されています。
Webコンテンツのレンダリングに使用されるWindowsコンポーネントの中核であるMSHTMLフレームワークには、権限のない攻撃者がリモートでセキュリティコントロールを回避することを可能にする保護メカニズムの障害が含まれています。
CVSSスコアが10点満点中8.8点であるため、この脆弱性は「重要」度に分類され、セキュリティチームにとって優先度の高い懸念事項となっています。
| CVE ID | CVE-2026-21513 |
| 脆弱性タイプ | MSHTMLフレームワークセキュリティ機能バイパス脆弱性 |
| 公開日 | 2026年2月10日 |
| 割り当てCNA | Microsoft |
| 深刻度評価 | 重要 |
| CVSSスコア | 8.8 / 7.7 (CVSS:3.1) |
この脆弱性が特に危険なのは、そのネットワークベースの攻撃ベクトルです。
攻撃者はこれを悪用するために特別な権限を必要とせず、ユーザーを騙して悪意のあるコンテンツと対話させるだけで済みます。
成功すると、攻撃者は影響を受けるシステムの機密性、完全性、可用性に対する高レベルのアクセスを獲得できます。
技術的詳細
この脆弱性は、フレームワークの保護メカニズムの障害を示すCWE-693として分類される弱点に起因しています。
CVSSベクトル文字列(CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)は、いくつかの懸念すべき特性を明らかにしています:
- 攻撃の複雑さが低く、悪用が比較的簡単
- 攻撃を開始するために権限は必要なし
- 通常はソーシャルエンジニアリングを通じて、ユーザーの操作が必要
- 機密性、完全性、可用性という3つのセキュリティの柱すべてが高い影響を受ける
Microsoftの悪用可能性評価は、この脆弱性が公開され、積極的に悪用されていることを確認しています。
「悪用が検出された」というステータスは、実際の攻撃が進行中であることを示しており、即座の対応の緊急性を高めています。
実際に悪用が発生しているにもかかわらず、エクスプロイトコードの成熟度は「未実証」のままであり、攻撃が限定的または高度である可能性を示唆しています。
ただし、より多くの脅威アクターがこの脆弱性を認識するにつれて、これは急速に変化する可能性があります。
組織は影響を受けるシステムへのパッチ適用を直ちに優先すべきです。
Microsoftは公式修正をリリースし、修復レベルを「公式修正」ステータスにしました。セキュリティチームは次のことを行うべきです:
- Microsoftのセキュリティアップデートを遅滞なく適用する
- MSHTML関連の疑わしいアクティビティについてネットワークトラフィックを監視する
- この脆弱性を悪用する潜在的なフィッシング攻撃についてユーザーを教育する
- 一時的な対策として追加のネットワークセキュリティコントロールを実装する
積極的な悪用とネットワークベースの攻撃ベクトルを考慮すると、組織はこの重大なセキュリティ欠陥に対する修復作業を遅らせる余裕はありません。
翻訳元: https://gbhackers.com/mshtml-framework-zero-day/
