Microsoftは、攻撃者が組み込みのセキュリティ制御を回避できるMicrosoft Wordの積極的に悪用されている脆弱性を開示し、パッチを適用しました。
この脆弱性により、悪意のあるドキュメントがObject Linking and Embedding (OLE)保護を回避し、標準的なユーザー警告を表示せずに実行できるようになります。
「Microsoft Office Wordのセキュリティ決定における信頼できない入力への依存により、未承認の攻撃者がローカルでセキュリティ機能を回避できます」と、Microsoftは勧告で述べています。
CVE-2026-21514の内部
この脆弱性により、攻撃者はMicrosoftのObject Linking and Embedding (OLE)緩和策を回避できます。これらは、Wordドキュメント内に埋め込まれた悪意のあるCOM/OLEコントロールをブロックするように設計されています。
OLE機能により、ドキュメントは外部オブジェクトを埋め込んで対話できます。これは、スプレッドシート、グラフ、その他の動的コンテンツのリンクなど、正当なビジネスワークフローに一般的に使用される機能です。
しかし、この同じ機能は、コード実行の手段として脅威アクターの標的にされています。
CVE-2026-21514は、信頼できない入力に基づくセキュリティ決定の不適切な検証に起因します。
Wordが埋め込みオブジェクトを評価する方法を操作することで、攻撃者はOLE保護を回避する特別に設計されたOfficeドキュメントを作成できます。
通常、コンテンツの有効化プロンプトや保護ビュー警告をトリガーする従来のマクロベースの攻撃とは異なり、このエクスプロイトはこれらの可視的なセキュリティアラートを表示せずに実行できます。
悪用には特権は不要で、ユーザーの対話のみが必要です。つまり、攻撃者は通常、フィッシングやその他のソーシャルエンジニアリングを通じて被害者に悪意のあるドキュメントを開くよう説得するだけで済みます。
Microsoftは、野生での積極的な悪用を確認しています。
Word脆弱性からのリスクの軽減
組織は、タイムリーなパッチ適用と構成制御を重視する構造化された緩和アプローチを通じて、この脆弱性に対処する必要があります。
この問題は特定の組み込み保護を回避するため、更新の展開はエンドポイント監視と特権管理によって補完される必要があります。
- 最新のパッチを適用し、すべての管理対象エンドポイントでパッチレベルを確認します。高リスクユーザーを優先します。
- OLEおよびCOMオブジェクトの実行を制限または無効化します。運用上実行可能な場合、インターネットから発信されたファイルに対してApplication GuardやProtected Viewなどの強化されたOfficeポリシーを適用します。
- 攻撃対象領域削減ルールを実装し、アプリケーション許可リストを使用して、Officeアプリケーションが子プロセスを生成したり、未承認のバイナリを実行したりすることを防ぎます。
- メールおよびWebフィルタリングを強化して、疑わしいOffice添付ファイルをブロックまたはサンドボックス化し、予期しないOLEアクティビティやコマンド実行を含む異常なドキュメント動作を監視します。
- 最小特権を適用します。不要なローカル管理者権限を削除し、ジャストインタイム昇格と特権アクセス制御を通じて高リスクアクセスを制限します。
- エンドポイント検出および対応監視を強化します。疑わしいプロセスチェーンやドキュメントを開いたことによってトリガーされるアウトバウンドネットワーク接続を含む、異常なWord、OLE、またはCOMアクティビティを監視します。
- ドキュメントベースの悪用シナリオおよびセキュリティ機能バイパス試行に対するインシデント対応計画をテストします。
これらのステップを総合的に実施することで、露出を減らし、被害範囲を制限することができます。
セキュリティ機能バイパスが重要な理由
CVE-2026-21514は、広く展開されている生産性ソフトウェアにおけるセキュリティ機能バイパス脆弱性がもたらす運用リスクを浮き彫りにしています。
敵対者がマクロベースの戦術を超えて、基礎となる検証ロジックを標的にするにつれて、従来のユーザープロンプトはもはや信頼できる保護手段として扱うことはできません。
セキュリティチームにとって、これは規律あるパッチガバナンス、強化されたOffice構成、最小特権の適用、および強力なエンドポイントテレメトリの必要性を強調しています。
この現実は、ユーザーの行動、アプリケーション、およびエンドポイント保護における暗黙の信頼への依存を減らすゼロトラストソリューションを採用する組織を促進しています。
