良いニュース:ゼロデイなし。ただし、Azureの管理者は9つのホールに注意が必要。
Microsoft Officeスイートの3つの高度なセキュリティホールが、3月のパッチ火曜日リリースで挙げられた78の問題の見出しとなっており、幸いなことに、これらのリリースにはゼロデイの脆弱性が含まれていません。
それでも、Jack Bicer氏(Action1の脆弱性研究部門責任者)は、これらのOffice関連の欠陥を「緊急に」対処すべきだと述べています。
「生産性ツールは引き続き、攻撃者にとって最も一般的な侵入ポイントの1つであり、日常的なドキュメント処理を通じてトリガーできる脆弱性により、企業ネットワーク内の攻撃面が拡大し続けています。」と彼は説明しました。
3つの問題の中でも最も注目すべき1つは、ExcelのInformation Disclosure脆弱性(CVE-2026-26144)だと同氏は述べています。このフローは、ウェブページ生成中の入力の不適切な中和(クロスサイトスクリプティングとしても知られている)から生じています。この脆弱性により、攻撃者は意図しないアウトバウンドネットワーク通信をトリガーして、機密情報を漏らすことができます。
Microsoftによると、攻撃にはネットワークアクセスが必要ですが、ユーザーの操作や権限は必要ありません。攻撃者は、Excelが処理するときにデータ流出を開始する特別に作成されたコンテンツを配信し、アラートをトリガーしない可能性があります。これは危険です。Excelファイルにはしばしば機密の企業データが含まれているためです。
「特に懸念される側面は、Copilot Agentモードとの潜在的な相互作用です。」Bicer氏はメールで述べており、「自動化されたプロセスが直接ユーザーの関与なしに機密データを送信する可能性があります。ワイルドでの確認された悪用はないとしても、財務、運用、または知的財産データを含むスプレッドシートからの無音のデータ流出の可能性は、Excelで駆動されたワークフローに大きく依存する組織にとって意味のあるリスクを表しています。」
本日の時点では、このホールは悪用されていません。
Action1は、パッチの展開を遅延させる場合は、組織がOfficeアプリケーションからのアウトバウンドネットワークトラフィックを制限し、Excelプロセスによって生成される異常なネットワークリクエストを監視すべきだと述べています。Copilot Agentモードなどの人工知能駆動の自動化機能を無効にするか制限することで、曝露を減らすことができます。
Bicer氏が注目した2番目のOfficeホールは、Officeがメモリポインタを不適切に処理することによって生じたリモートコード実行脆弱性(CVE 2026-26113)です。これにより、攻撃者はアプリケーションがメモリにアクセスする方法を操作できます。悪用が成功した場合、攻撃者は現在のユーザーと同じ権限でコードを実行できます。管理者は、プレビューペインが攻撃ベクトルとして機能する可能性があることに注意する必要があるため、悪意のあるファイルを表示するだけで悪用が発生する可能性があります。
このバグはCVSSスコア8.4です。本日の時点では、既知の公開悪用やプルーフオブコンセプトはありません。
また、メモリ内の互換性のないデータ型の不適切な処理から生じるタイプ混同フローを導入するリモートコード実行脆弱性(CVE-2026-26110)も個別に存在します。Bicer氏は、前の脆弱性と同様に、ドキュメントのプレビューを通じて悪用が発生する可能性があり、攻撃者がログインしたユーザーの権限で悪意のあるコードを実行できると述べました。「これらの脆弱性は、日常的なドキュメント処理活動がいかに迅速にシステム侵害へのパスウェイになるかを強調しています。」と彼は述べました。
「ビジネスの観点から見ると、広く使用されている生産性ソフトウェアを通じてコード実行またはデータ開示を可能にする脆弱性は、重大な運用リスクをもたらします。」Bicer氏は追加しました。「Officeドキュメントは、電子メール、コラボレーションプラットフォーム、および共有リポジトリを通じて日常的に交換されており、フィッシングキャンペーンおよび標的攻撃の一般的な配信メカニズムとなっています。悪用された場合、これらの脆弱性により、攻撃者はマルウェアを展開し、機密情報を盗み、永続的なアクセスを確立するか、企業ネットワーク全体で側方移動を実行できます。プレビューペインの攻撃ベクトルは、ユーザーの操作の必要性を減らし、偶発的な曝露の可能性を高めるため、特に懸念されます。」
Bicer氏は、このパッチ火曜日の戦略的な焦点には、Office環境の迅速なパッチ展開、Officeアプリケーションから発生する異常なアウトバウンドネットワークアクティビティの監視、およびCopilot Agentモードなどの人工知能支援ワークフローに関連する自動データ共有機能の制限が含まれるべきだと述べています。CISOはまた、プレビューペインの無効化(実行可能な場合)、電子メール添付ファイルフィルタリングの強化、および異常なOfficeプロセス動作の監視を含むドキュメントベースの攻撃リスクを減らすコントロールを強化すべきです。
「これらのステップを実行することにより、日常的なドキュメント相互作用が企業システムを侵害するか機密データを抽出しようとしている攻撃者の侵入ポイントになる可能性を減らすでしょう。」と彼は述べました。
Azureの問題
Tyler Reguly氏(Fortraのセキュリティ研究開発の準ディレクター)は、CISOが9つのAzure脆弱性に細心の注意を払うべきだと述べています:Azure Compute GalleryのCVE-2026-23651および26124;Azure Portal Windows Admin CenterのCVE-2026-23660;Azure IoT ExplorerのCVE-2026-23661、23662、および23664;Azure Linux Virtual MachinesのCVE-2026-23665;Azure ArcのCVE-2026-26141;Azure Model Context Protocol (MCP)ツールの権限昇格脆弱性であるCVE-2026-26118;およびAzure Entra IDのCVE-2026-26148。
Entra IDのログインホールはAzure Linuxの仮想マシンに影響を与え、高度なセキュリティとしてCVSSスコア8.1で評価されています。権限のない攻撃者がローカルで権限を昇格させることができます。Azureユーザーは、Linuxディストリビューションのパッケージマネージャー経由でAzure SSHログイン拡張機能を更新して、aadsshloginパッケージの最新バージョンをインストールする必要があります。拡張機能が既にインストールされているシステムには、packages.microsoft.comが自動的に構成されているため、追加の設定は不要です。
「クラウドエコシステムはパッチングを本当にうまく処理していません。」Reguly氏は述べました。「比較的未成熟なプロセスであり、Microsoftがこれらの製品を処理する方法は、それを本当に示しています。Azure Linux Virtual Machines(CVE-2026-23665)に影響を与えるCVEまたはAzure IoT Explorerに影響を与える複数のCVEは、かなり非標準的なパッチングメカニズムを必要とし、ITチームからの追加の努力が必要な場合があります。CISOは、クラウド関連のシステムとツールの展開に関する固いアセットインベントリがあることを確認し、管理者がこれらのものが存在する場所と修正する必要がある時期を知るべきです。これはシステム管理者とセキュリティチームに権限を付与する最良の方法であり、このような静かな月です。」Reguly氏は述べました。
Chris Goettl氏(Ivantiの製品管理担当VP)は、SQL Serverの権限昇格脆弱性(CVE-2026-21262)(CVSSスコア8.8)がリストにあることに注意しましたが、既に公開されています。この脆弱性を正常に悪用した攻撃者は、SQL sysadmin権限を取得できます。この脆弱性は、SQL Server 2016以降のエディションに影響します。
Satnam Narang氏(Tenableのシニアスタッフ研究エンジニア)は、Azure Model Context Protocol (MCP)ツールの修正についてコメントしました。「このバグはサーバーサイドリクエスト偽造です。」と彼はメールで述べており、「攻撃者は脆弱なAzure MCPサーバーへのリクエストを送信することで、それを悪用できます。ただし、悪用にはサーバーがユーザー提供のパラメータを受け入れることが必要です。
「MCPサーバーは、大規模言語モデルとエージェント人工知能アプリケーションを接続するために非常に人気が高まっており、」と彼は述べられており、「OpenClawおよび他のエージェントなどのツールの台頭により、これらのツールをサイバー犯罪者から保護することがさらに重要になっています。」
管理者にとっての良いニュース
Nick Carroll氏(Nightwingのサイバーインシデント対応マネージャー)は、「信じられないほどの良いニュース」を見つけました。「何年もの間、ディフェンダーとSOCアナリストはMicrosoftのSystem Monitor (Sysmon)に依存して、プロセス作成、ネットワーク接続、ファイル変更への高忠実度テレメトリを獲得しています。しかし、それは外部Sysinternalsスイートに住んでいたため、展開にはマニュアルダウンロード、カスタムスクリプト、および継続的なメンテナンスが必要でした。
Windows 11の3月機能更新(KB5079473)の時点で、Sysmonはネイティブに直接Windows 11にオプションの組み込み機能として統合されました。管理者はもはやそれを動的にパッケージ化する必要がありません。PowerShellを通じてプログラム的に有効にすることができます。「Microsoftが同時に2026年5月にWindows Intuneがホットパッチングを既定で有効にすることを発表したことと相まって、これはディープエンドポイント可視性へのエントリバリアを大幅に低下させ、ネットワークディフェンダーにとって巨大な運用上の勝利を表します。」と彼は述べました。
SAP、Google、およびその他の高度なセキュリティバグ
別に、SAPは2つの重大な脆弱性の修正を発行しました。その1つはCVSSスコア9.8を使用しています。これはSAPセキュリティノート#3698553であり、SAP Quotation Management Insurance application (FS-QUO)でのコード注入脆弱性にパッチを当てます。Onapsisの研究者によると、このアプリケーションはCVE-2019-17571に脆弱な古いApache Log4j 1.2.17アーティファクトを使用しています。権限のない攻撃者がサーバー上でリモートで任意のコードを実行でき、アプリケーションの機密性、完全性、および可用性に大きな影響を引き起こします。
もう1つのSAPセキュリティノート、#3714585(CVSSスコア9.1でタグ付けされた)は、SAP NetWeaver Enterprise Portal Administrationの安全でない逆シリアル化脆弱性にパッチを当てます。アップロードされたコンテンツの逆シリアル化中の検証の不足または不十分なため、権限のあるユーザーは信頼できない、または悪意のあるコンテンツをアップロードできます。攻撃者が正常な悪用のために高い権限を必要とするという事実のみが、脆弱性がCVSSスコア10でタグ付けされるのを防ぎます。
他のベンダーもいくつかの高度なセキュリティの問題に対処しました。
Appleは、iPadOS、macOS、tvOS、watchOS、およびvisionsOSで使用されるDynamic Link Editorのメモリ破損のセキュリティ更新をリリースしました。
Googleは、いくつかの高度なセキュリティの問題にパッチを当てるChromeおよびChromiumブラウザのセキュリティ更新をリリースしました。
Ivantiは、攻撃者が認証情報を盗んだり、機密データを読んだりできる可能性があるEndpoint Managerの2つの重大なバグにフラグを立てました。
WordPressは、WPvivid Backup and Migrationプラグインの重大な弱点を公開する脆弱性を閉じるセキュリティ更新を発行しました。これはCVSSスコア9.8を使用しています。
