Windows DNSにCVSS 9.8の“操作不要RCE”が発覚：Microsoftは更新適用を強く推奨

MicrosoftはWindows DNS Clientに深刻なRCE脆弱性「CVE-2026-41096」が存在すると公表した。細工されたDNS応答によってメモリ破損が発生し、条件次第で認証不要の遠隔コード実行に至る恐れがある。

[＠IT]

　Microsoftは2026年5月12日（米国時間）、「Windows DNS Client」に深刻なリモートコード実行（RCE）の脆弱（ぜいじゃく）性「CVE-2026-41096」が存在すると公表した。

　共通脆弱性評価システム（CVSS）v3.1のスコアは9.8、深刻度「緊急」（Critical）と評価されている。この脆弱性はWindows DNS処理機能内のヒープベースバッファーオーバーフローに起因し、細工済みDNS応答を受信した端末でメモリ破損が発生する可能性がある。攻撃成功時には、認証なしで遠隔から任意のコードが実行される恐れがある。

DNS ClientにCVSS 9.8の脆弱性　ユーザー操作不要でRCE可能

　問題はWindows DNS ClientがDNS応答を処理する過程で発生する。攻撃者は特別に細工したDNSレスポンスを対象端末に返送することで、DNS Clientでメモリ破損を引き起こせる。条件次第では遠隔からコード実行に発展する恐れがある。攻撃にユーザー操作は不要で、権限取得も前提条件に含まれない。

　影響範囲には「Windows 11」の各バージョンと「Windows Server」製品群が含まれる。対象製品はWindows 11 Version 23H2、24H2、25H2、26H1のx64版およびARM64版、Windows Server 2025、Windows Server 2022 23H2 Editionなど多岐におよぶ。Server Core構成も対象に含まれている。

　Microsoftは2026年5月の月例更新で修正プログラムを公開した。Windows 11 Version 26H1にはKB5089548を提供し、ビルド番号は10.0.28000.2113となる。Windows 11 Version 24H2と25H2にはKB5089549およびホットパッチ更新KB5089466を公開した。Windows Server 2025にはKB5087539とKB5087423を配信している。

　DNS ClientはWeb閲覧やVPN接続、ソフトウェア更新確認など、日常的な通信処理で頻繁に利用される基盤機能だ。Windows端末は継続的にDNS問い合わせを実施しており、利用者が明示的に操作しなくともネットワーク通信は常時発生する。この性質上、攻撃者が通信経路上でDNS応答を操作できる環境を確保した場合、脆弱な端末に不正データを送り込める可能性がある。

　攻撃経路としては、侵害済みルーターや不正DNSサーバなどを悪用する手法が想定される。企業内部ネットワークで侵害された端末が存在する場合、横展開の踏み台に悪用される危険も否定できない。特に多数のWindows端末を運用する組織において、未更新端末の残存が被害を拡大させる要因となる可能性がある。

　Microsoftはユーザーに対し、更新適用を強く推奨している。企業管理者には、インターネット接続端末や社外ネットワーク利用端末を優先対象として修正展開する判断が求められる。更新適用まで時間を要する環境においては、信頼済みDNSリゾルバー利用に限定する構成や、不審な子プロセス生成監視など、防御策強化も重要となる。

　DNS関連機能はOS基盤層に深く組み込まれているため、脆弱性悪用時の影響範囲は広い。Microsoftが現時点で悪用確認なしとしている点は安心材料ではあるが、CVSS 9.8の重大性を踏まえると、早期の更新適用が現実的な防御手段となる。