マイクロソフト、2026年7月の月例パッチで悪用確認のゼロデイ2件を修正 Nightmare Eclipseは新PoCリリース | Codebook|Security News

マイクロソフト、2026年7月の月例パッチで悪用確認のゼロデイ2件を修正 直後にNightmare Eclipseは新PoC「LegacyHive」をリリース

BleepingComputer – July 14, 2026

マイクロソフトは2026年7月の月例セキュリティ更新プログラムにおいて、史上最多となる570件の脆弱性を修正。これには、攻撃で悪用されているゼロデイ2件や、Critical(緊急)評価の脆弱性59件が含まれるという。

マイクロソフトは先週、AI活用型の脆弱性探索システムを使用し始めたために月例セキュリティ更新の数量が増えるだろうと伝えていた。この予告通り、今月修正された脆弱性の件数は570件と過去最多に。なおこの数字には、先立って修正されていたMariner、Azure OpenAI、Azure Synapse、M365 Copilot、Microsoft Exchange Online、Microsoft Edge for Android、Microsoft Entra Provisioning Serviceの脆弱性は含まれていない。

 

その一方で、4月以降マイクロソフト製品におけるぜロデイエクスプロイトを複数リークしてきた謎の研究者「Nightmare Eclipse(Chaotic Eclipse)」は、今回の月例パッチを適用済みのシステムに対しても有効だと主張する新たなPoC「LegacyHive」をリリースしている。

ゼロデイ3件を修正

今回の月例パッチで特に注目されるのは、攻撃での悪用が確認されたゼロデイ脆弱性CVE-2026-56155およびCVE-2026-56164。加えて、悪用は未確認なもののすでにその存在が公開されていたゼロデイCVE-2026-50661も修正されている。

CVE-2026-56155:Active Directory フェデレーション サービス(AD FS)における特権昇格の脆弱性。アクセス制御の不十分な粒度に起因する問題で、認可された攻撃者によるローカルでの管理者権限取得を可能にする恐れがある。報告者としてはマイクロソフトのインシデント対応部門の2名がクレジットされていることから、アクティブな攻撃の調査中に発見された脆弱性であろうことが示唆される。同社はこの脆弱性がどのように悪用されているのかなどの詳細を明かしていない。CVSS3.1スコアは7.8、深刻度は「Important(重要)」の評価。CVE-2026-56164:Microsoft SharePoint Serverにおける特権昇格の脆弱性。重要な機能に対する認証の欠如に起因し、認可されていないリモートの攻撃者によるネットワークを通じた特権昇格を可能にする恐れがある。報告者にはMandiantおよびGoogle Cloud、FLARE OTFの研究者と匿名の研究者がクレジットされているが、どのような攻撃で悪用されたのかなどの詳細は明かされていない。CVSS3.1スコアは5.3、深刻度は「Moderate(警告)」の評価。CVE-2026-50661:Windows BitLockerにおけるセキュリティ機能バイパスの脆弱性。保護メカニズムの不具合に起因する問題で、標的端末に物理的にアクセスできる認可されていない攻撃者は、この脆弱性を利用してBitLockerデバイス暗号化機能を回避し、暗号化されたデータにアクセスできるようになる恐れがある。匿名の研究者が報告者としてクレジットされており、悪用の可能性は「低い」と評価されている。CVSS3.1スコアは6.1、深刻度は「Important(重要)」の評価。米CISAがSharePointの悪用について警告

2件目のCVE-2026-56164に関連し、米CISAは14日にSharePointの悪用に関するアドバイザリをリリース。同脆弱性および4月に修正されたCVE-2026-32201と5月に修正されたCVE-2026-45659の3件が現在進行形で悪用されており、サイバー脅威アクターによるオンプレミスのSharePoint Serverへの不正アクセスが可能になっていると警告した。加えてCISAは、7月の月例パッチで新たに修正された以下2件に関しても、現時点ではまだ悪用は報告されていないとしつつも未パッチのままでは潜在的リスクになり得ると注意喚起している。

CVE-2026-55040:Microsoft SharePoint Serverにおけるセキュリティ機能バイパスの脆弱性。弱い認証の問題に起因し、認可されていない攻撃者によるネットワークを通じたセキュリティ機能のバイパスを可能にする。マイクロソフトはこの脆弱性を「なりすましを可能にする」ものであると説明しており、認証されていない攻撃者がネットワークベースの攻撃を通じて認証をバイパスし、匿名の接続を行えるようになる可能性があるとアドバイザリに記した。CVSS3.1スコアは9.1、深刻度は「Critical(緊急)」の評価。CVE-2026-58644:Microsoft SharePointにおけるリモートコード実行の脆弱性。信頼できないデータのデシリアライゼーションに起因し、認可されていない攻撃者によるネットワークを通じたコード実行を可能にする。少なくともSite Owner権限で認証されている攻撃者は、ネットワークを通じた攻撃において、任意のコードを書き込み、SharePointサーバー上でリモートからコードを注入・実行することが可能になる恐れがある。CVSS3.1スコアは9.8、深刻度は「Critical(緊急)」の評価。

 

上記のうち、CVE-2026-55040の報告者にはRapid7の研究者ほか2名がクレジットされている。Rapid7は同じく14日に公開したブログ記事において、AIエージェントを活用したゼロデイ調査でCVE-2026-55040およびもう1つの脆弱性を発見したと述べた。同社によると、この2件を連鎖させることで認証なしでのリモートコード実行(RCE)が実現できるという。この悪用チェーンにおける「RCEコンポーネント」とされる2つ目の脆弱性はまだ開示されておらず、2026年8月の月例パッチで修正される見込みだとされる。

Nightmare Eclipse(Chaotic Eclipse)の新たなリークも

マイクロソフト製品のゼロデイエクスプロイトを相次いでリークしてきた匿名のNightmare Eclipse(Chaotic Eclipse)は、6月の月例パッチ直後に新たな「RoguePlanet」をリークした。そして今回の7月の月例パッチの直後にも、「LegacyHive」と名付けられた脆弱性のPoCエクスプロイトとされるものをリリースしている。同研究者は、このPoCは2026年7月の月例パッチを適用したあらゆるデスクトップおよびサーバーに対しても完全に有効であると主張した。

 

Nightmare Eclipseによれば、LegacyHiveは「Windows User Profile Serviceにおける、任意ハイブのロードによる特権昇格の脆弱性」だという。同研究者のリリースしたPoCを利用するには別の標準ユーザーの認証情報および第三のユーザー名が必要になるものの、PoCが成功すれば、ターゲットユーザーのハイブが現在のユーザーの「classes」ルートにマウントされることになると説明されている。

 

Nightmare Eclipseはまた、一般による悪用を防ぐため、今回公開したのは大幅に簡略化したバージョンのPoCであるとコメント。簡略化前のPoCでは追加のユーザー認証情報は不要で、usrclass.datハイブに限定されることもなく、どのハイブでも読み込むことが可能だったと付け加えている。