Microsoftは、エンタープライズネットワークを深刻なリスクにさらすWindows Active Directory内の重大なセキュリティ脆弱性を公開しました。
公式にCVE-2026-33826として追跡されているこの脆弱性は、認証済み攻撃者が隣接ネットワーク経由でマルウェアコードをリモート実行することを許可します。
その重大な分類を考慮すると、ネットワーク管理者とセキュリティチームは迅速な対応を優先するよう求められています。
脆弱性について理解する
Microsoftの公式発表によると、CVE-2026-33826はActive Directory基盤内の不適切なインプット検証(CWE-20)に起因します。
この脆弱性は、共通脆弱性評価システム(CVSS 3.1)の基本スコア8.0という高いスコアを持ち、機密性、整合性、および可用性への深刻な潜在的影響を反映しています。
- 隣接ネットワーク攻撃ベクトル(AV: A): 攻撃表面はより広いインターネットに露出していません。この欠陥を悪用するには、攻撃者はすでにターゲットシステムと同じ制限されたActive Directoryドメインへのアクセスを持っている必要があります。
- 細工されたRPC呼び出し: 悪用には、認証済み脅威行為者が脆弱なRPCホストに特別に細工されたリモートプロシージャコール(RPC)を送信する必要があります。
- 低い複雑性と権限: 攻撃の複雑さは低いと考えられ、基本的なユーザー権限のみが必要で、被害者からの相互作用はゼロです。
- システムレベルの影響: 成功した悪用は、サーバー側でのリモートコード実行につながり、攻撃者に基礎となるRPCサービスと同じ深いシステム権限を与えます。
エクスプロイトコードの成熟度は現在未証明であり、野生での積極的な悪用報告はありませんが、脅威状況は緊張したままです。
Microsoftの内部悪用可能性評価は、この脆弱性を「悪用がより可能性が高い」に分類しています。
この指定は、脅威行為者が現実的にパッチをリバースエンジニアリングし、近い将来に機能的なエクスプロイトコードを開発できることを示しています。この脆弱性は、セキュリティ研究者Aniq Fakhrul によって責任を持って発見および報告されました。
この脆弱性は、幅広い範囲のMicrosoft サーバー環境に影響を与えます。レガシーシステムに限定されるのではなく、この欠陥は10年以上のエンタープライズソフトウェアリリースにまたがっています。
影響を受けるプラットフォームには、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022(23H2 Editionを含む)、およびWindows Server 2025が含まれます。
標準版とServer Coreインストール両方が、このリモートコード実行欠陥に完全に脆弱であることに注意することが重要です。
Microsoftは2026年4月のセキュリティ更新サイクルの一部としてCVE-2026-33826に公式に対応しました。セキュリティチームは、以下の軽減手順をすぐに実装する必要があります:
- 2026年4月14日にリリースされた適切なナレッジベース(KB)セキュリティ更新プログラムを配備してください(Server 2025のKB5082063、Server 2022のKB5082142など)。
- Active Directory基盤をターゲットとした異常なリモートプロシージャコール(RPC)リクエストについて、隣接ネットワークトラフィックを監視してください。
- 攻撃実行にはドメイン内認証が必須であるため、ドメインアクセスが厳密に監査されていることを確認してください。
翻訳元: https://gbhackers.com/windows-active-directory-flaw/
