技術的な説明
CISAは2026年5月20日、アクティブな悪用の証拠に基づいて、7件の脆弱性を既知の悪用可能な脆弱性(KEV)カタログに追加しました。5件は2008年~2010年のレガシー欠陥です:CVE-2008-4250(Microsoft Windowsバッファオーバーフロー、Confickerワームに関連するMS08-067)、CVE-2009-1537(Microsoft DirectXのNULLバイト上書き、QuickTimeパーサ)、CVE-2009-3459(Adobe Acrobat/Readerのヒープベースバッファオーバーフロー)、CVE-2010-0249およびCVE-2010-0806(いずれもInternet Explorerのuse-after-free脆弱性)。2件は現在のMicrosoft Defenderの欠陥です:CVE-2026-41091(権限昇格)およびCVE-2026-45498(サービス妨害)。CISAによると、これらの脆弱性は重大なリスクを伴い、アクティブに悪用されています。連邦機関は2026年6月3日の修復期限があります。
攻撃経路
レガシー脆弱性:細工されたRPC経由のリモートコード実行(CVE-2008-4250)、悪意あるQuickTimeメディアファイル(CVE-2009-1537)、PDFエクスプロイト(CVE-2009-3459)、ドライブバイブラウザ攻撃(CVE-2010-0249、CVE-2010-0806)。現在のDefender欠陥:ローカル権限昇格(CVE-2026-41091)およびサービス妨害(CVE-2026-45498)。2008年~2010年のバグの追加は、攻撃者がサポートされていないWindows(2000、XP、Server 2003)、組み込みデバイス、古い仮想マシン、産業機器、バッジシステム、ラボ機器、キオスクイメージ、または忘れ去られた部門サーバを実行している到達可能なシステムを発見していることを示しています。Defender欠陥は、セキュリティツール自体がブラスト半径の一部になったことを示しています。
影響を受けるシステム
Windows 2000、Windows XP、Windows Server 2003(レガシーCVE);Internet Explorer 6~8(レガシー);2009年からのAdobe Reader/Acrobatバージョン;Microsoft Defender(現在のCVE)。危険にさらされているシステムには、忘れられたまたはパッチが適用されていないWindowsエンドポイント、運用技術(OT)環境、組み込みシステム、ベンダー管理アプライアンス、レガシーキオスク、およびDefenderに依存するあらゆるWindowsベースのセキュリティまたは監視ツールが含まれます。AIインフラストラクチャチームは、MLパイプラインコンポーネント、コンテナホスト、エッジデバイス、またはCI/CDランナーが影響を受けるWindowsバージョンまたはDefenderを実行しているかどうかを監査する必要があります。
緩和策
ベンダーパッチを直ちに適用します:レガシーシステム用のMicrosoftセキュリティアップデート(拡張サポート契約の下でサポートされている場合)および現在のDefenderパッチ。サポートされていないシステム(Windows 2000/XP/Server 2003)の場合は、本番ネットワークから隔離するか置き換えます。脆弱なバージョンについて、すべてのWindowsエンドポイント、OT環境、組み込みデバイス、およびベンダー管理アプライアンスを監査します。連邦機関:2026年6月3日までに修復してください。組織はKEV追加をバックログ項目ではなく、即座の運用シグナルとして扱う必要があります。CISAの包含基準はアクティブな悪用の証拠を必要とします。