概要
Microsoftは、現在攻撃に悪用されているMicrosoft Officeの高危険度ゼロデイ脆弱性に対応するため、緊急の帯域外セキュリティアップデートを公開しました。
このセキュリティ機能バイパスの脆弱性は「CVE-2026-21509」として追跡されており、Microsoft Office 2016、Microsoft Office 2019、Microsoft Office LTSC 2021、Microsoft Office LTSC 2024、およびMicrosoft 365 Apps for Enterprise(クラウドベースのサブスクリプションサービス)を含む複数のOfficeバージョンに影響します。ただし、今日の勧告によると、Microsoft Office 2016および2019向けのセキュリティアップデートはまだ提供されておらず、できるだけ早くリリースされる予定です。
脆弱性の詳細
この脆弱性は、Microsoft Officeにおけるセキュリティ機能バイパスであり、信頼できない入力への依存が原因で、非認証の攻撃者がローカルでセキュリティ機能を回避することを可能にします。攻撃者は、ユーザーに悪意のあるOfficeファイルを送信し、それを開くよう説得する必要があります。プレビューペインは攻撃ベクトルではありませんが、低い複雑性でユーザーの操作を必要とする攻撃を通じて悪用される可能性があります。
Microsoftは「このアップデートは、Microsoft 365およびMicrosoft Officeにおいて、脆弱なCOM/OLEコントロールからユーザーを保護するOLE緩和策をバイパスする脆弱性に対処します」と説明しています。
一時的な緩和策
Office 2016および2019のユーザーは直ちにパッチを適用できませんが、Microsoftは「悪用の深刻度を軽減できる」可能性のある一時的な緩和策を提供しています。以下の手順で実施できます。
- すべてのMicrosoft Officeアプリケーションを閉じます。
- Windowsレジストリのバックアップを作成します(レジストリの誤編集はオペレーティングシステムに問題を引き起こす可能性があります)。
- スタートメニューをクリックし、「regedit」と入力してEnterキーを押すことで、Windowsレジストリエディター(regedit.exe)を開きます。
- 開いたら、上部のアドレスバーを使用して、以下のいずれかのレジストリキーが存在するかどうかを確認します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\(64ビット版Office、または32ビット版Windows上の32ビット版Office用)HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\(64ビット版Windows上の32ビット版Office用)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\
- 上記のキーのいずれかが存在しない場合は、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\の下で、「Common」を右クリックして「新規」→「キー」を選択し、「COM Compatibility」という名前の新しいキーを作成します。 - 既存または新しく作成した「COM Compatibility」キーを右クリックし、「新規」→「DWORD(32ビット)値」を選択し、名前を
{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}とします。 - 新しい
{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}キーが作成されたら、それをダブルクリックし、「値のデータ」フィールドに「400」と入力します。
これらの手順を実行すると、次回Officeアプリケーションを起動したときに脆弱性が軽減されます。
追加情報
Microsoftは、この脆弱性を発見した人物や、その悪用方法に関する詳細を公開していません。BleepingComputerが本日早くに問い合わせた際、広報担当者からのコメントはすぐには得られませんでした。
今月初め、2026年1月の月例パッチの一環として、Microsoftは114件の脆弱性に対するセキュリティアップデートを公開しました。これには、本件とは別の1件の悪用が確認されたゼロデイ脆弱性と、2件の公開されたゼロデイバグが含まれています。
今月パッチが適用されたもう1つの悪用が確認されたゼロデイは、Desktop Window Managerにおける「重要度」の情報漏洩の脆弱性であり、攻撃者がリモートALPCポートに関連するメモリアドレスを読み取ることが可能になります。先週、Microsoftは、1月の月例パッチによって引き起こされたシャットダウンやCloud PCのバグを修正するために、複数の帯域外Windowsアップデートもリリースしています。また、Outlookのクラシックメールクライアントがフリーズする問題を解決するための緊急アップデートも別途公開されました。