CISA Issues Alert on Exploited Microsoft Defender Zero-Day Vulnerabilities
2026/05/22 gbhackers — 米国の CISA は、Microsoft Defender に影響を与える 2件のゼロデイ脆弱性に対処するよう、連邦政府の組織に対して指令を発出した。これらの脆弱性は、2026年5月20日に Known Exploited Vulnerabilities (KEV) カタログへ追加された。
CVE-2026-45498:Microsoft Defender DoS 脆弱性
Microsoft Defender に存在するサービス拒否 (DoS) 脆弱性 CVE-2026-45498 により、セキュリティ・サービスが停止する恐れがある。この欠陥を突く攻撃者は、保護メカニズムを無効化し、さらなる侵害に対してシステムを無防備な状態にできる。技術的な詳細は限定的であるが、セキュリティ・ツールにおける DoS 脆弱性は、防御の可視性および対応能力に影響する、きわめて危険な状態を生み出す。
CVE-2026-41091:リンク追従による権限昇格
Microsoft Defender の不適切なシンボリックリンク処理に起因する脆弱性 CVE-2026-41091 は、リンク追従 (CWE-59) に関する欠陥である。この脆弱性を悪用する許可済みのローカル攻撃者は、ファイル操作のリダイレクトにより権限昇格を達成する。この種の脆弱性は、初期侵入後のラテラル・ムーブメントや、本来は制限される操作の実行において頻繁に悪用される。
CISA が認めたのは、これらの脆弱性が実環境で積極的に悪用されている状況である。ただし、現時点においては、ランサムウェア・キャンペーンとの直接的な関連は確認されていない。
一連の脆弱性により、以下のような深刻なリスクが生じる:
- 攻撃者は DoS 脆弱性を悪用し、エンドポイント保護を無効化できる。
- 権限昇格により、システム内部へ向けた侵害が深化する可能性がある。
- 2 つの脆弱性を組み合わせることで、完全なシステム支配に至る可能性がある。
Binding Operational Directive (BOD) 22-01 に基づき、米国連邦機関は 2026年6月3日までに、これらの脆弱性へ対処する必要がある。
CISA の推奨事項は以下の通りである:
- Microsoft が提供するパッチまたは緩和策を即時適用する。
- クラウド/エンタープライズ環境においては BOD 22-01 のガイダンスに従う。
- 修正が適用できない場合には、対象製品の使用停止を検討する。
これらの脆弱性は、Defender というセキュリティ・ツール自体が攻撃ベクターとなり得ることを示している。脅威アクターは、大規模攻撃を実行する前にエンドポイント保護ソリューションを標的として攻撃し、防御を弱体化させる傾向を強めている。
Microsoft Defender を利用するユーザー組織にとって必要なことは、監視強化/権限制御の厳格化/多層防御の導入により、リスク低減を図ることだ。
訳者後書:Microsoft Defender の脆弱性は、セキュリティ・サービスが停止してしまう現象と、 ファイルの参照先を誤認させるシンボリックリンク処理の不備に起因します。これらの脆弱性の実環境での悪用が確認されたことで、CISA が KEV カタログに追加しました。脆弱性 CVE-2026-45498 の原因は、 特定の処理負荷やエラーにあり、防御機能の停止 (DoS) に追い込まれる可能性があります。また、脆弱性 CVE-2026-41091 は、プログラムがリンクをたどる際の不十分な検証により、不正なファイル操作のリダイレクトと権限昇格を攻撃者に許してしまいます。このように、内部処理のギャップを突かれると、システムを守るための防衛ツールであっても無効化されてしまいます。よろしければ、CISA KEV ページを、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.