概要

Microsoftは、Windows Admin Center内で見つかった深刻な脆弱性に対処するためのセキュリティ更新プログラムを公式にリリースしました。この脆弱性はCVE-2026-26119というIDで、企業環境に対する重大なリスクをもたらします。

脆弱性の詳細

この脆弱性は、認証メカニズムが不適切であるため、Elevation of Privilege（特権昇格）問題として分類されています。攻撃者はネットワーク上で自分の権限を昇格させることができ、これにより機密システムへのコントロールを獲得する可能性があります。

影響と対策

Mircosoftはこの脆弱性の深刻度を「Critical」（重大）と評価し、CVSSベーススコアも8.8と高い値を付けています。攻撃者は物理的なアクセスが不要で、ネットワーク経由での攻撃が可能であり、低レベルの権限を持つだけで実行可能です。

この脆弱性はシステムの機密性、完全性、可用性に深刻な影響を及ぼす可能性があります。Microsoftはこの脆弱性が「Exploitation More Likely」（実装される可能性が高い）と評価しており、公開されたエクスプロイトコードがないにもかかわらず、攻撃者が逆向工学を行う可能性があると警告しています。

対策の推奨

Mircosoftは管理者に対してWindows Admin Centerのインストールをすぐに更新するよう強く推奨しています。管理ツールがネットワークインフラストラクチャに広範なアクセスを持つため、未修正のままでは攻撃者がネットワーク内での横展開を行うための脆弱なエントリポイントとなる可能性があります。

追加対策

組織は管理アカウントの定期的な監査と、管理インターフェースへのネットワークアクセス制限を実施することでリスクをさらに軽減することができます。また、この脆弱性が実際に悪用された証拠はありませんが、エクスプロイト可能性評価に基づいてパッチ適用は優先事項として扱うべきです。

元記事: https://gbhackers.com/critical-flaw-in-windows-admin-center-exposes/