先月の大規模なパッチチューズデーで6つのMicrosoft脆弱性がゼロデイとして悪用された後、3月は獅子奮迅とは言えません。火曜日にリリースされた83のMicrosoft CVEのうち、わずか2つだけが公開済みとして記載されており、いずれも積極的に悪用されていません。これはシステム管理者にとって歓迎すべき変化だと確信しています。
83のMicrosoft CVEのうち、さらに8つが重大と考えられており、その1つ(ゼロデイイニシアティブのチーフバグハンター、ダスティン・チャイルズを引用すると)は「魅力的です」。さらに、AI攻撃コンポーネントがあるため、まずはそこから始めます。
CVE-2026-26144は、Microsoft Excelの重大度情報漏開脆弱性です。このクロスサイトスクリプティング欠陥は、「Copilot Agentモードを悪用して、意図しないネットワーク出口を経由してデータを流出させ、ゼロクリック情報漏開攻撃を実現する」ために悪用される可能性があり、Redmondが警告しました。
はい、その通りです:Excelスプレッドシートとcopilot Agentを悪用してデータを盗むゼロクリックバグです。Childsが指摘するように、それは「今後さらに頻繁に見られる可能性が高い攻撃シナリオ」です。
このバグの悪用にはネットワークアクセスが必要ですが、ユーザーの操作や権限昇格は必要ありません。
「情報漏開脆弱性は、Excelファイルが財務データ、知的財産、または運用記録を含むことが多い企業環境では特に危険です」とAction1のCEO兼共同創設者であるAlex Vovkがザ・レジスターに語りました。「悪用された場合、攻撃者は目立ったアラートをトリガーすることなく、内部システムから機密情報を静かに抽出できる可能性があります。」
このパッチを早急に適用してください。パッチの配備を遅延させる必要がある場合、Vovkはofficeアプリケーションからの発信ネットワークトラフィックを制限し、Excelプロセスによって生成される異常なネットワークリクエストを監視し、修正を適用するまでCopilot Agentを無効にするか制限することを提案しています。
2つの既知… ただし悪用中ではない
公開済みとして記載されているが、開示時に悪用されていない2つのMicrosoftバグにはCVE-2026-26127が含まれます。これは.NETのアウトオブバウンズ読み取り問題で、許可されていない攻撃者がネットワーク経由でサービスを拒否することができます。公開されているにもかかわらず、Redmondは「悪用の可能性は低い」と判断しています。
さらに、CVE-2026-21262も公開済みですが、SQLサーバーのアクセス制御の不適切な処理により、許可された攻撃者がネットワーク経由で権限を昇格させることができます。Microsoftはこれが「野生で悪用される可能性は低い」と述べました。
8つの重大度評価CVEのうち、CVE-2026-26110とCVE-2026-26113の2つはOfficeのリモートコード実行バグであり、プレビューペイン経由でトリガーされる可能性があります。つまり、攻撃者がシステムを悪用するために、ユーザーが悪意のあるファイルを完全に開く必要がないことを意味します。
プレビューペインに注意
「単純なドキュメントプレビューがコード実行をトリガーできる場合、攻撃者はシステムに直接通じるドアウェイを獲得します」とAction1の脆弱性研究ディレクターであるJack Bicerがザ・レジスターに語りました。
Childsが指摘するように、これらは過去1年間でますます一般的になっています。「それらが積極的な悪用に表示され始めるのは時間の問題です」と彼は述べました。
CVE-2026-26110はMicrosoft Officeのタイプ混同フローであり、リモート攻撃者がローカルでコードを実行することができます。タイプの混同は、アプリケーションが互換性のないデータ型を使用してリソースにアクセスする場合に発生し、メモリ処理が不正確になります。
CVE-2026-26113はMicrosoft Officeの信頼されないポインター逆参照フローによって引き起こされ、リモート攻撃者もローカルでコードを実行できます。「この問題は、Microsoft Officeがメモリポインターを不適切に処理し、攻撃者がアプリケーションがメモリにアクセスする方法を操作することを許可する可能性があるときに発生します」とBicerは述べました。®
