出典:tomeqs via Shutterstock
今月も全員が対応する必要があるパッチチューズデーです。
Microsoftは165件のCVE(ほぼ記録的な数)に対するパッチをリリースしました。その1つは既に攻撃者が積極的に悪用しており、もう1つは公に知られていますが、これまでのところ悪用されていません。
Microsoftは新たに開示された脆弱性のうち19件を、攻撃者が悪用する可能性が高い欠陥として評価しており、優先的な対応が必要です。比較的最近のトレンドに従って、今月のパッチされた欠陥の約60%が権限昇格バグであり、その後にリモートコード実行(RCE)欠陥と情報開示バグが続きます。
権限昇格バグが大量発生
“権限昇格 バグはここ8ヶ月間、パッチチューズデーサイクルを支配し続けており、4月にパッチされたすべてのCVEの記録的な57%を占めています」とTenableのシニアスタッフリサーチエンジニアであるSatnam Narangがメールでのコメントで述べました。「RCE脆弱性は12%にまで減少し、今月は情報開示脆弱性と同等です。」 Microsoftがこの月にパッチした165件の欠陥は、次の2025年10月に開示された175件の脆弱性にはわずかに達しません。このペースで進むと、2026年の同社は再び1年間で1,000件の脆弱性開示を超える可能性があるとNarangは付け加えました。
攻撃者が積極的に悪用しているゼロデイは CVE-2026-32201 (CVSS: 6.5)は、Microsoft SharePoint Serverのなりすまし脆弱性で、攻撃者に機密情報を表示・変更する方法を与えます。Action1の社長兼共同創業者であるMike Waltersは声明で、攻撃者はネットワーク上で信頼できるコンテンツまたはインターフェースになりすますためにこの欠陥を悪用できると述べています。「この欠陥を悪用することで、攻撃者はユーザーに情報がどのように提示されるかを操作し、悪質なコンテンツを信頼するようにだまされる可能性があります」とWaltersは述べました。「データへの直接的な影響は限定的ですが、ユーザーをだます能力により、これはより広い攻撃のための強力なツールになります。」
もう1つのゼロデイ脆弱性(公に開示、概念実証利用可能だが、まだ悪用されていない)は CVE-2026-33825 (CVSS: 7.8)は、今月のセットの90以上の権限昇格バグの1つです。このバグはMicrosoftの組み込みDefenderマルウェア対策プラットフォームに影響します。この欠陥を正常に悪用した攻撃者は、影響を受けるデバイスでシステムレベルの権限を獲得できます。Defenderインスタンスを自動更新を受け取るように構成している組織は、既にこの欠陥に対してパッチが適用されており、更新を受け取ったことを確認する以外に追加のアクションは必要ありませんとMicrosoftは述べています。この脆弱性はMicrosoftによると攻撃者が悪用する可能性が高い脆弱性の1つです。
Action1の脆弱性研究ディレクターであるJack Bicerは、この欠陥を攻撃者が他のエクスプロイトと組み合わせて、影響を受けるシステムの初期アクセスを拡大する可能性があるものとして認識しています。「CVE-2026-33825は、攻撃者がすでに足掛かりを得ている環境でリスクを大幅に増加させ」、敵対者に脆弱なエンドポイントを完全に制御する方法を与えます。
Fortraのセキュリティ研究開発部門の副ディレクターであるTyler Regulyによると、CVE-2026-33825は BlueHammer の概念実証エクスプロイトに関連する脆弱性のようにも見え、研究者は最近それを公開しながら、バグ開示に対するMicrosoftの対応に不満を述べています。
少数の重大なバグ
Microsoftは大規模なパッチ更新の脆弱性のうち、わずか8件を重大度が重大と評価しました。その他の大部分は、中程度または「重要」の重大度とランク付けされました。
重大な脆弱性の中には CVE-2026-33824 (CVSS: 9.8)は、Windows Internet Key Exchange(IKE)Service Extensionsの認証されていないRCE欠陥であり、暗号化されたネットワーク接続に関連するWindowsコンポーネントです。Microsoftは、この欠陥の影響を受けた組織に対して、IKEを使用しないシステムについては、パッチを直ちにインストールするか、UDPポート500および4500への着信トラフィックをブロックするよう求めています。「IKEが必要なシステムについては、ファイアウォールルールを構成して、UDPポート500および4500への着信トラフィックを既知のピアアドレスからのみ許可してください」とMicrosoftはアドバイスしました。
CVE-2026-33827 (CVSS: 8.1)は、TCP/IPレイヤーの上で動作するWindowsセキュアトンネリングおよび認証コンポーネントに影響する、別の認証されていないRCE脆弱性です。「最近では真にリモートのTCP/IP脆弱性を見ることはめったになく、それが正確にCVE-2026-33827です」とReguly は声明で述べています。「攻撃の複雑さは、脆弱性がレース条件とMicrosoftが呼ぶ「追加アクション」に基づいているため、高としてリストされていますが、2026年にこれらの脆弱性が特定されているのを見るのはまだ印象的です。」
CVE-2026-33114 (CVSS 8.4)および CVE-2026-33115 (CVSS: 8.4)は、Microsoft Wordの両方のRCE欠陥であり、Microsoftが重大としてレートした他の2つの脆弱性ですが、攻撃者が実際にそれらを悪用する可能性を低いと評価しました。一方、同社が攻撃者が悪用する可能性が高いと考える脆弱性に含まれるのは CVE-2026-26151 (CVSS: 7.1)はWindowsデスクトップのなりすまし脆弱性です。CVE-2026-26169 (CVSS: 6.1)はWindowsカーネルメモリに影響する情報開示欠陥です。そしてCVE-2026-27906 (CVSS: 4.4)はWindows Helloセキュリティ回避脆弱性です。
数十のEdgeおよびChromium修正
AutomoxのシニアセキュリティエンジニアであるMat Leeは、Microsoftが4月2026年のセキュリティアップデートの一部として今週再公開した、ほぼ80のMicrosoft EdgeおよびChromiumパッチをハイライトしました。「EdgeおよびChromiumパッチはSQL ServerまたはSharePointアップデートよりもはるかに簡単に展開できます」とLeeはメールでのコメントで述べました。「データベースマイグレーション、ダウンタイムウィンドウ、複雑な依存関係チェーンはありません。数分でフリート全体にブラウザ更新をプッシュできるため、これは低労力で高いリターンのパッチターゲットです。」80もの修正に対応する場合、組織はブラウザの再起動による最小限の中断により、脆弱性にすぐに対処することを止めてはいけません。彼は述べています。
最新のDark Reading Confidential ポッドキャストをお見逃しなく、 セキュリティボスはAIに全力投球している:その理由がここにあります、 RedditのCIOであるFrederick LeeとOmdiaアナリストのDave Gruberが、SOCでのAIと機械学習、成功した展開がどのようであったか(またはそうでなかったか)、およびAIセキュリティ製品の将来について議論しています。 今すぐ聴く!
