概要
Microsoftは、Active Directory Domain Services (AD DS) における高深刻度の権限昇格脆弱性を修正するための重要なセキュリティ更新プログラムをリリースしました。この脆弱性は、攻撃者がシステムレベルのアクセスを獲得できるようにする可能性があります。
脆弱性の詳細
この脆弱性は、CVE-2026-25177としてトラッキングされており、CVSS v3.1のベーススコアは8.8(10点満点中)です。この脆弱性は、ファイルやその他のリソースの名前を適切に制限または検証しない場合に発生します。これにより、認証された攻撃者は低レベルの権限を持つ場合でも、ネットワークアクセスを通じて権限を昇格させることができます。
影響
この脆弱性が悪用された場合、Kerberos認証プロトコルが混乱し、システムがセキュリティが低いバックアップモードに移行したり、サービスが中断される可能性があります。攻撃者はシステムレベルの権限を獲得し、機密性の高い企業データを不正に取り出す、重要なシステム設定を変更する、または重要なビジネスオペレーションを妨害する可能性があります。
対策
- セキュリティ更新プログラムの適用: すべての影響を受けるドメインコントローラーとWindowsシステムに3月2026年のパッチ火曜日の更新プログラムをすぐにインストールします。
- ネットワーク活動の監視: Active Directoryのログを定期的に確認し、不審な権限昇格、不審なネットワークトラフィック、またはリソース名の操作を検出します。
- 最小権限の適用: Active Directory Domain Servicesと相互作用するすべてのサービスアカウントと通常のユーザーに対して最小権限を適用します。
- エンドポイント保護: 緊急のパッチ適用が不可能な場合、強化されたエンドポイント検出と応答(EDR)ソリューションとアプリケーションホワイトリストを使用して、不審な活動を検出およびブロックします。