技術的な説明
CISAは2026年5月20日に、アクティブな悪用の証拠に基づいて、既知の悪用された脆弱性(KEV)カタログに7つの脆弱性を追加しました。5つは2008~2010年のレガシー欠陥です:CVE-2008-4250(Microsoftのバッファオーバーフロー、Confickerワームに関連したMS08-067)、CVE-2009-1537(MicrosoftのDirectXのQuickTimeパーサーにおけるNULLバイト上書き)、CVE-2009-3459(AdobeのAcrobat/Readerのヒープベースのバッファオーバーフロー)、CVE-2010-0249およびCVE-2010-0806(どちらもInternet Explorerのuse-after-free脆弱性)。2つは現在のMicrosoft Defenderの欠陥です:CVE-2026-41091(権限昇格)およびCVE-2026-45498(サービス拒否)。CISAによると、これらの脆弱性は重大なリスクを持ち、アクティブに悪用されています。連邦機関の改善期限は2026年6月3日です。
攻撃経路
レガシー脆弱性:RPC経由のリモートコード実行(CVE-2008-4250)、悪意のあるQuickTimeメディアファイル(CVE-2009-1537)、PDFエクスプロイト(CVE-2009-3459)、ドライブバイブラウザ攻撃(CVE-2010-0249、CVE-2010-0806)。現在のDefender欠陥:ローカル権限昇格(CVE-2026-41091)およびサービス拒否(CVE-2026-45498)。2008~2010年のバグの追加により、攻撃者がサポートされていないWindows(2000、XP、Server 2003)を実行している到達可能なシステム、埋め込みデバイス、古い仮想マシン、産業用機器、バッジシステム、ラボ機器、キオスクイメージ、または忘れられた部門別サーバーを発見していることが示唆されます。Defenderの欠陥は、セキュリティツール自体がブラスト半径の一部となっていることを示しています。
影響を受けるシステム
Windows 2000、Windows XP、Windows Server 2003(レガシーCVE);Internet Explorer 6~8(レガシー);2009年時点のAdobe Reader/Acrobatバージョン;Microsoft Defender(現在のCVE)。リスクにさらされているシステムには、忘れられたまたはパッチが当たっていないWindowsエンドポイント、運用技術(OT)環境、埋め込みシステム、ベンダー管理アプライアンス、レガシーキオスク、およびDefenderに依存している任意のWindowsベースのセキュリティまたは監視ツールが含まれます。AI インフラストラクチャチームは、MLパイプラインコンポーネント、コンテナホスト、エッジデバイス、またはCI/CDランナーのいずれかが影響を受けるWindowsバージョンまたはDefenderを実行しているかどうかを監査する必要があります。
緩和策
ベンダーパッチを直ちに適用してください:レガシーシステムのMicrosoftセキュリティアップデート(延長サポート契約の下でまだサポートされている場合)および現在のDefenderパッチ。サポートされていないシステム(Windows 2000/XP/Server 2003)については、本番ネットワークから分離するか置き換えてください。脆弱なバージョンについて、すべてのWindowsエンドポイント、OT環境、埋め込みデバイス、およびベンダー管理アプライアンスを監査してください。連邦機関:2026年6月3日までに改善してください。組織はKEV追加を、バックログアイテムではなく、即座の運用シグナルとして扱う必要があります—CISAの追加基準は、アクティブな悪用の証拠を必要とします。