はじめに: Windowsリモートアシスタンスに新たな脆弱性

Microsoftは、Windowsリモートアシスタンスにおける重要なセキュリティ機能バイパスの脆弱性「CVE-2026-20824」の詳細を公表しました。この脆弱性は、攻撃者が特定の条件でセキュリティチェックを回避し、システムの信頼されたコンテキストで悪意のあるコンテンツを実行することを可能にします。CVSS v3.1基本スコアは5.5（時間的スコア4.8）と評価されています。

脆弱性の概要: CVE-2026-20824とは

この脆弱性は「保護メカニズムの失敗（CWE-693）」に分類され、本来の防御チェックが特定の状況下で意図したとおりに機能しないことを意味します。ローカルな性質（AV:L）を持ち、特権を必要とせず（PR:N）、攻撃の複雑性も低い（AC:L）ため、システムへの侵入後や内部犯行のシナリオで特に魅力的です。これにより、高い機密性への影響（C:H）が生じる一方で、完全性や可用性への影響はありません（I:N/A:N）。これは、システム全体の乗っ取りよりも、データの持ち出しやステルスでの回避のリスクと一致しています。

Microsoftは現時点でこの脆弱性の悪用を「Exploitation Less Likely（悪用されにくい）」と評価しており、公開されたエクスプロイトや実世界での攻撃は報告されていません。

攻撃メカニズムと影響

この脆弱性は、Windowsリモートアシスタンスがセッションの開始または処理に関わる特別に細工されたファイルを処理する方法に起因します。これにより、通常、信頼できないコンテンツに適用されるセキュリティチェックがバイパスされてしまいます。この保護の失敗を悪用することで、攻撃者は「Mark of the Web（MOTW）」によって適用される特定のSmartScreenやOffice、スクリプトの制限などの保護機能を回避できます。結果として、ファイルがインターネットゾーンから取得されたにもかかわらず、より信頼されたコンテキストでコンテンツを実行または開くことが可能になります。

悪用にはユーザーの操作（UI:R）が必要であり、被害者が電子メール、インスタントメッセージ、またはウェブダウンロードを通じて配信された特別に細工されたファイルを開く必要があります。この脆弱性は、単体でリモートコード実行を提供するものではないため、他のバグと組み合わせて使用されたり、既に限定的なアクセス権を持つ脅威アクターがコンテンツの起源保護を静かに回避したい場合に最も強力です。

対象となるシステムとパッチ情報

CVE-2026-20824は、広範囲にわたるサポートされているWindowsクライアントおよびサーバーリリースに影響を与えます。

• Windows 10 21H2 および 22H2
• Windows 11 23H2、24H2、および 25H2
• Windows Server 2012、2012 R2、2016、2019、2022、および新しいWindows Server 2025

修正プログラムは、2026年1月13日の「パッチチューズデー」アップデートで提供されています。関連する累積的または月次ロールアップアップデートには以下のものが含まれます。

• KB5073724 (Windows 10 21H2/22H2)
• KB5073455 (Windows 11 23H2)
• KB5074109 (Windows 11 24H2/25H2)
• KB5073457 (Windows Server 2022)
• KB5073379 (Windows Server 2025)
• KB5073723 (Windows 10 1809/Windows Server 2019)

推奨される対策

Microsoftは、影響を受けるすべてのWindowsビルドに2026年1月13日のセキュリティアップデートを適用し、リモートアシスタンスのMOTW適用を適切に復元することを強く推奨しています。

アップデートが完全に展開されるまでは、組織は以下の対策を講じるべきです。

• メールおよびウェブフィルタリングを強化する。
• 高リスク環境でのWindowsリモートアシスタンスの使用を制限する。
• ユーザーに対し、未承諾のリモートアシスタンス招待や不明な添付ファイルに対する意識を再徹底する。

---

元記事: https://gbhackers.com/motw-bypassing-remote-assistance/