概要

Microsoftは、2026年3月のパッチ・テューズデーにおいて、.NETフレームワークにおけるゼロデイ脆弱性（CVE-2026-26127）を修正しました。この脆弱性は、認証なしのリモート攻撃者に対して、影響を受ける.NET環境で動作するアプリケーションに対するサービス拒否（DoS）攻撃を可能にします。

脆弱性の詳細

CVE-2026-26127は、.NETランタイムとMicrosoft.Bcl.Memoryライブラリにおける不適切な境界チェックから生じます。具体的には、不適切なBase64Url入力をデコードしようとする際に、境界外読み取りが発生します。フレームワークがデータバッファーの長さや境界を適切に検証しない場合、攻撃者はシステムが割り当てられた領域を超えてメモリを読み込むように強制することができます。

影響範囲

• .NET 9.0
• .NET 10.0（Windows、macOS、Linux）

脆弱性の深刻度

CVE ID: CVE-2026-26127

CVSS v3.1 スコア: 7.5（重要）

脆弱性タイプ: CWE-125（境界外読み取り）

脅威と影響

この脆弱性は、.NET 9.0や10.0を用いてインターネット向けサービスをホストしている組織にとって深刻な脅威です。攻撃者は特別に作成したリクエストを送ることで、脆弱なバージョンの.NETを使用しているアプリケーションに対してリモートでこの脆弱性を悪用することができます。認証やユーザーの操作が不要であるため、ネットワーク上で容易に悪用することができます。

対策と対応

組織は、以下の対策を講じることを強く推奨します。

• 公式アップデートの適用: Microsoftが提供する2026年3月10日のパッチ・テューズデーのサービス更新プログラムをインストールします。
• ランタイムの更新: .NET 9.0と10.0を実行しているすべてのアプリケーションを最新のパッチ済みランタイムバージョンに更新します。
• ネットワークトラフィックのモニタリング: 異常なリクエスト、特に怪しいBase64Urlペイロードを含むリクエストを検出およびブロックするためのネットワークモニタリングツールやウェブアプリケーションファイアウォール（WAF）を展開します。
• レートリミッティングの実装: 自動的なサービス拒否攻撃の影響を軽減するために、入力リクエストの数を制限します。

---

元記事: https://gbhackers.com/microsoft-net-0-day-flaw-denial-of-service-attacks/