米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Microsoft Windows Video ActiveXコントロールの重大なリモートコード実行(RCE)脆弱性を既知の悪用された脆弱性(KEV)カタログに追加しました。
CVE-2008-0015として追跡されているこの脆弱性は、ほぼ20年前に最初に開示されましたが、現在は野生での能動的な悪用を確認しています。
CISAは2026年2月17日にカタログを更新し、未パッチシステムを狙った現実世界の攻撃のため、即座のパッチ適用を促しています。
この動きは、現代の環境におけるレガシーソフトウェアの継続的な危険性を浮き彫りにしています。攻撃者は、ユーザーを特別に細工された入力が読み込まれた悪意のあるウェブページに誘導することで、この脆弱性を悪用します。
トリガーされると、ActiveXコントロールはデータを誤処理し、ログインしたユーザーの権限で任意のコード実行を可能にします。
管理者アクセス権があれば、攻撃者はマルウェアをインストールし、データを盗み、バックドアアカウントを作成したり、より深くネットワークに侵入することができます。
連邦文民行政機関(FCEB)は、拘束力のある運用指令(BOD) 22-01に従い、2026年3月10日までに修復する必要があります。
具体的なランサムウェアのリンクはまだ浮上していませんが、RCEの性質はエンドポイントとウェブトラフィックを監視する防御者からの緊急性を要求しています。
この脆弱性は、Windows Video ActiveXコントロールの不適切な入力検証に由来し、Internet Explorerおよびレガシーアプリケーションでビデオ再生を埋め込むためのコンポーネントです。
脅威アクターは、コントロールを不正なパラメータで呼び出すHTMLページを作成し、保護を回避して、ブラウザコンテキスト内で直接シェルコードを実行します。
悪用には認証が不要であり、フィッシングまたはマルバタイジング経由のドライブバイダウンロードに最適です。
成功した攻撃により、攻撃者は被害者のユーザー権限を獲得し、昇格権限が存在する場合はシステム全体の侵害にエスカレートします。
これは、横展開、データ流出、または新しいアカウント経由のパーシスタンスを促進する可能性があります。XP、Vista、初期の7ビルドなどのレガシーWindowsバージョンが最も露出していますが、ActiveXが有効になっている未パッチの最新システムは依然として脆弱です。特に古いIEモードを保持しているエンタープライズ環境ではそうです。
CISAのKEV追加はFCEB優先順位を示していますが、民間部門は同等の脅威に直面しています。ネットワーク防御者は、Microsoft Baseline Security Analyzerなどのツールを使用してコントロールをスキャンし、パッチベースラインを適用し、グループポリシーでActiveXをブロックする必要があります。
不要なブラウザプラグインを無効にし、エクスプロイトをホストしているIPへの異常なウェブトラフィックを監視します。
Microsoftは2008年以降のセキュリティ更新プログラムで修正を提供しています。WSUSまたはIntuneでの展開を確認してください。
このケースは、進化する脅威の中でレガシーコードの隠れたリスクを強調しています。パッチの適用を遅延させる組織は侵害を招き、攻撃者は低検出ゲインのために古い脆弱性をリサイクルします。
CVE-2008-0015インジケータのエンドポイント検出ルール(疑わしいActiveXインスタンス化を含む)。
翻訳元: https://cyberpress.org/cisa-adds-actively-exploited-windows-activex-rce-flaw-to-kev-catalog/