システム管理者にとって朗報となるため、マイクロソフトは昨日の今月のパッチチューズデーで、公開されたゼロデイ2件を含む79個の脆弱性に対するセキュリティアップデートをリリースした。
マイクロソフトはゼロデイ脆弱性を、悪用されたか、または利用可能なパッチなしで開示されたフローとして分類している。
3月のパッチチューズデーの選定には、CVE-2026-21262が含まれている。これはCVSSスコア8.8のSQLサーバー権限昇格(EoP)バグである。Rapid7のプリンシパルソフトウェアエンジニアであるアダム・バーネット氏によると、低レベルの権限が必要なため、「重大」の重大度のすぐ下である。
「マイクロソフトは公開開示を認識しており、悪用の可能性をあまり高くないと評価していますが、この1つについてパッチを延期するのは勇敢な防御者でしょう」と彼は付け加えた。
「ほとんどのSQLサーバー管理者とセキュリティチームは、多年前にSQLサーバーをインターネットに直接公開することは良い考えではないと結論づけました。その一方で、インターネット接続デバイス用の一般的な検索エンジンは数万のSQLサーバーインスタンスを説明しており、それらがすべてハニーポットである可能性はありません。」
パッチチューズデーについてもっと読む:マイクロソフトが2月のパッチチューズデーでゼロデイ脆弱性6件を修正。
今月2番目のゼロデイ脆弱性はCVE-2026-26127で、.NETのサービス拒否(DoS)フローである。
バーネット氏は、野生での悪用は見かけ以上に深刻である可能性があると述べた。
「ログフォワーダーまたはセキュリティエージェントが短期間でも影響を受けた場合、攻撃者はその瞬間に攻撃を実行し、この人工的な暗闇の下で検出を回避することを望む可能性があります」と彼は主張した。
「低スキルの攻撃者が単にダウンタイムを引き起こした場合でも、いくつかの文脈ではSLA違反や収益損失を引き起こすのに十分である可能性があり、最小限でも目の疲れた防御者が真夜中にページング呼び出しを受けるような原因になる可能性があります。」
EoPが中心舞台に登場
全体的に、今月は重大に格付けされた脆弱性はわずか3つあり、そのうち2つはリモートコード実行(RCE)で1つは情報開示フローである。しかし、CVEの大多数はEoP脆弱性である。
イマーシブのリード・サイバーセキュリティ・エンジニア、ベン・マッカーシー氏は以下をフラグした:
- CVE-2026-23668は、Windowsグラフィックコンポーネントに影響を与えるEoPバグです。悪用にはユーザー操作が不要で、「完全にバックグラウンドで」発生する可能性があります。
- CVE-2026-24294は、Windows SMBサーバーのEoP脆弱性で、ほぼ常に有効でアクティブなため、一般的なターゲットです。マッカーシー氏によると、「システム権限への信頼性の高い直接的なパス」を提供する可能性があります。
- CVE-2026-24289は、WindowsカーネルのEoPフローで、「オペレーティングシステムのすべての標準セキュリティ境界をバイパスする」コード実行につながる攻撃で使用される可能性があります。
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-fixes-two-publicly/
