エクスプロイト&脆弱性
2025年1月 セキュリティアップデート解説:Microsoft社は161件、Adobe社は14件の脆弱性に対応
2025年最初のパッチチューズデーとなりAdobe社やMicrosoft社から多くのセキュリティアップデートが発表されました。最新のセキュリティ情報についてご紹介させていただきます。リリースの概要は、以下の動画(英語)からもご覧いただけます。
2025年最初のパッチチューズデーとなりAdobe社やMicrosoft社から多くのセキュリティアップデートが発表されました。最新のセキュリティ情報についてご紹介させていただきます。リリースの概要は、以下の動画(英語)からもご覧いただけます。
2025年1月Adobe社からのセキュリティアップデート
2025年1月のAdobe社のセキュリティアップデートでは、Adobe Photoshop、Substance 3D Stager、Illustrator on iPad、Animate、Substance 3D Designerに関する14件の脆弱性を修正する5つのセキュリティ情報が公開されました。このうち1件は、ZDIプログラムを通じて報告されたものです。
特にSubstance 3D Stagerの更新内容が最も多く、5件の「緊急」に分類された脆弱性が修正されています。これらの脆弱性の中には、任意のコード実行につながる可能性があるものも含まれています。
Photoshopの修正も「緊急」に分類されており、不正なファイルを開くことでコードが実行される可能性があります。同様に、Adobe Illustrator on iPadの修正も「緊急」に分類されており、こちらも不思議なファイルを開くことでコード実行につながる恐れがあります。なお、この修正はデスクトップ版ではなく、iPad版に限定されている点が興味深いところです。
Substance 3D Designerでは、4件の「緊急」に分類された脆弱性が修正され、いずれも任意のコード実行のリスクが含まれています。最後に、Adobe Animateのアップデートでは、1件のコード実行関連の脆弱性が修正されています。
今回Adobe社が修正した脆弱性については、リリース時点で周知されているものや、実際に攻撃に悪用されているものはありませんでした。また、Adobe社はこれらのアップデートについて、展開優先度を「3」に分類しています。
2025年1月Microsoft社からのセキュリティアップデート
今月、Microsoft社はWindowsおよびその関連コンポーネント、Officeおよびその関連コンポーネント、Hyper-V、SharePoint Server、.NETとVisual Studio、Azure、BitLocker、リモートデスクトップサービス、Windows Virtual Trusted Platform Moduleにおいて、合計159件もの新しい脆弱性への修正対応を公開しました。このうち3件はZDIプログラムを通じて報告されたものです。また、サードパーティ製の脆弱性を含めると、全体で161件に上ります。
今回公開されたパッチの中で、11件は「緊急」に分類され、残りの148件は「重要」に分類されています。これは、少なくとも2017年以降で1か月間に対処された脆弱性件数としては最多であり、1月としては通常の修正件数の2倍以上に達しています。さらに、記録的な件数が修正された12月の直後であることを考えると、2025年のパッチ対応がどのようなペースになるのか、不安を感じさせる兆しとも言えるでしょう。今年がどのような動向を見せるのか注目されます。
これらの脆弱性のうち、5件は既に周知されており、3件はリリース時点で実際に攻撃に悪用されていると報告されています。以下、現在悪用されている脆弱性を含め、今月の注目すべきアップデートについて詳しく見ていきましょう。
CVE-2025-21333 / CVE-2025-21334 / CVE-2025-21335 - Windows Hyper-V NTカーネル統合VSP特権昇格の脆弱性
これら3件の脆弱性は現在、攻撃に悪用されているものとして報告されており、いずれも同じ説明が付されています。認証済みユーザがこれらを利用してSYSTEM権限でコードを実行できる可能性があります。具体的な記載はありませんが、仮想マシンのゲストからハイパーバイザー上でSYSTEM権限を得られる場合、本来ならCVSSスコアにスコープ変更が反映されるべきだと考えられます。Microsoft社はその点を明記していませんが、過去にもZDIではその点について同社のCVSS評価に異議を唱えたことがあります。Hyper-Vを利用している場合は、これらのパッチを最優先でテストおよび適用することを強くお勧めします。
CVE-2025-21298 - Windows OLEリモートコード実行の脆弱性
この脆弱性はCVSSスコア9.8と非常に高く、特定の細工が施されたメールをOutlookで受信することで、リモート攻撃者が対象システム上でコードを実行できる可能性があります。幸いにもプレビューペインは攻撃経路ではありませんが、添付ファイルのプレビューがきっかけとなってコードが実行される可能性があります。この脆弱性は、RTFファイルの解析時に入力データを適切に検証しないことで発生するメモリ破損が原因です。緩和策として、Outlookをすべてのメールをプレーンテキストで表示する設定に変更することが可能ですが、ユーザの不満を招く可能性があります。そのため、最善策はこのパッチを迅速にテストして適用することです。
CVE-2025-21295 - SPNEGO拡張交渉(NEGOEX)セキュリティメカニズムリモートコード実行の脆弱性
タイトルの長さに加え、この脆弱性がセキュリティメカニズム自体に影響を与える点で非常に厄介です。リモートの未認証攻撃者が、ユーザ操作なしで対象システム上でコードを実行できる可能性があります。唯一の救いは、攻撃の実行にはいくつかの障壁があることですが、それに頼るのは危険です。この脆弱性がスコープ変更に該当する可能性も考えられますが、現時点ではそれを議論するより迅速な対応が求められます。このメカニズムを使用していない場合でも、このパッチを早急にテストして適用することをお勧めします。
CVE-2025-21297 / CVE-2025-21309 - Windowsリモートデスクトップサービスのリモートコード実行の脆弱性
これらの脆弱性は、リモートの未認証攻撃者がリモートデスクトップゲートウェイサーバ上で任意のコードを実行できる可能性があります。攻撃者はサーバに接続し、競合状態を引き起こして「use-after-free」の不具合を誘発することで攻撃を実現します。競合状態の攻撃は比較的困難とされていますが、Pwn2Ownで頻繁に利用される手法です。さらに、攻撃にはユーザの操作が不要なため、これらのパッチは特に優先して適用するべきです。特に、これらのゲートウェイをインターネットに公開している場合は、迅速な対応が求められます。
CVE-2025-21308 - Windows Themesのなりすましの脆弱性
今月修正された5つの公開済み脆弱性の1つであり、今回はどのように公開されたのかが明確になっています。この脆弱性は、以前のパッチ(「CVE-2024-38030」に対処)が回避されたことによって発生しました。この脆弱性のなりすまし部分は、NTLMの資格情報リレーに関連しています。そのため、NTLMトラフィックを制限しているシステムは、攻撃を受ける可能性が低くなります。最低限、リモートサーバへのNTLMトラフィックを制限する設定を行うべきです。幸いにも、Microsoft社はこれを設定するためのガイドを提供しています。この制限を有効にした上で、パッチを適用することをお勧めします。
その他の脆弱性
その他で「緊急」に分類された脆弱性について説明します。Visual Studioの脆弱性は、ユーザが不正なパッケージファイルを読み込むことで発生します。BranchCacheの脆弱性は、隣接するシステム間に限定されて影響を及ぼします。一方、RMCASTの脆弱性は、Pragmatic General Multicast(PGM)ポートで待ち受けるプログラムが必要です。PGMには認証機能がないため、これらのシステムをインターネットに直接公開すべきではありません。ただし、これらのシステム間では、この脆弱性の悪用により、技術的にはワームのように拡散可能ですが、そのように構成された環境でのみ発生します。
NTLMの脆弱性は、インターネット経由でアクセス可能であるため懸念されますが、影響を受けるのはNTLMv1のみです。すでにすべてをNTLMv2に移行済みでしょうか。まだの場合は、Microsoft社が移行方法についてのガイドを提供しています。Digest認証に関する脆弱性は、前述のリモートデスクトップの脆弱性と同様の動作をします。
「緊急」に分類されている脆弱性は、他にもいくつか報告されていますが、これらについてはMicrosoft社がすでに対策を講じているため、エンドユーザが対応する必要はありません。
リモートコード実行関連:
今月は、ほぼ60件のリモートコード実行に関する脆弱性が修正されています。その中には、Officeコンポーネントにおける「開くだけで乗っ取られる」タイプの脆弱性もいくつか含まれています。特にAccessに関する3件の既知の脆弱性がありますが、そのうちプレビューウィンドウで添付ファイルをプレビューするだけで影響を受けるのは、古いバージョンのOutlook for Macに限られています。
Windowsテレフォニーサービスには、今月28件のパッチが提供されています。ただし、これらはユーザの操作が必要であるため、悪用される可能性は低いとされています。また、Direct Showの脆弱性についても、認証済みのユーザが悪意のあるリンクをクリックする必要があります。.NETとVisual Studioに関する「開くだけで乗っ取られる」脆弱性以外では、.NETのもう1つのコード実行脆弱性には、かなり複雑なユーザ操作が必要です。さらに、GDI+の脆弱性については、攻撃者が認証済みであることが条件となっています。
Line Printer Daemon(LPD)の脆弱性については、数年前のPrintNightmareの脆弱性を彷彿とさせます。攻撃者は、影響を受けるシステムに特別に細工されたリクエストを送信するだけで、任意のコードを実行することが可能です。そして、Internet Explorerのアップデートまで含まれています。どんなに頑張っても、このブラウザから完全に解放されることは難しいようです。ただし、この脆弱性も悪用されるには、これもユーザの操作が必要です。
特権昇格関連:
1月のリリースでは、40件以上の特権昇格に関する脆弱性が修正されています。ただし、これらの多くは、一部には例外的なものものの、認証済みユーザが特別に細工されたコードを実行することで、SYSTEMレベルのコード実行や管理者権限を取得するものです。これらの半数以上はデジタルメディアコンポーネントに関連しており、攻撃者が影響を受けるシステムにUSBドライブを挿入する必要があります。この場合、SYSTEM権限でコードが実行されます。また、リカバリエンジンの脆弱性も物理的なアクセスが必要ですが、具体的な悪用方法についてはMicrosoftからの詳しい情報は提供されていません。
今月の特権昇格の修正には、コンテナやサンドボックスからの脱出に関連するものがいくつか含まれています。たとえば、Brokering File Systemの脆弱性は、低権限のAppContainer内で実行可能ですが、意図された範囲を超えたアクセスが可能になります。また、PrintWorkflowUserSvcの脆弱性もサンドボックスからの脱出を引き起こします。他の脆弱性も意図された範囲を超えたアクセスを可能にしますが、アクセスの複雑さのため、これらが悪用される可能性は低いとされています。
セキュリティ機能バイパス関連:
今月は、12件のセキュリティ機能バイパスに関する脆弱性が修正されています。その中でも特に注目されるのは、Mark of the Web(MoTW)保護を回避する脆弱性です。この手法は、2024年にランサムウェアや暗号詐欺で頻繁に利用されていました。Excelの脆弱性では、マクロ保護が回避されます。同様に、OfficeのSFB脆弱性ではWindows Defender Application Control(WDAC)の適用が回避されます。この脆弱性には複数の更新プログラムが含まれるため、すべてを適用するよう注意してください。
Secure Boot回避の脆弱性は、予想通りSecure Bootを無効化します。また、「Kerberos」と題されていますが、実際にはWindows Defender Credential Guard機能が回避されており、これによりKerberos資格情報が漏洩する可能性があります。MapUrlToZoneおよびHTMLプラットフォームセキュリティの保護を回避する脆弱性は、ユーザの操作が必要です。一方で、Virtualization-Based Security(VBS)コンポーネントに関しては、具体的に何が回避されるのかについてMicrosoft社からの情報がなく、今後の推測が求められます。
情報漏洩関連:
このリリースでは、複数の情報漏洩に関する脆弱性が修正されています。多くは特定されていないメモリ内容の漏洩にとどまりますが、一部では曖昧ながらも「機密情報」の漏洩につながるケースも含まれています。ただし、今月修正された情報漏洩の脆弱性の中には、特に注意が必要なものもあります。
まず挙げられるのは、SAP HANA SSO for On-Premises Data Gatewayの脆弱性で、これによりダッシュボードで利用可能なPowerBIデータが漏洩する可能性があります。また、いくつかのカーネルの脆弱性も特筆すべきものです。これらはランダムなヒープメモリを漏洩するだけですが、完全に解決するには複数のパッチが必要です。
暗号化コンポーネントに関する脆弱性では、暗号化されたPKCS1情報の内容が漏洩する可能性があります。中でも最も懸念されるのは、BitLockerに関する脆弱性です。一つは暗号化されていないハイバネーションイメージが平文で漏洩する可能性があり、もう一つ、BitLockerキーが漏洩する可能性があります。これらはいずれも物理的なアクセスが必要ですが、BitLockerが物理的アクセスを防ぐために設計されていることを考えると、これらの脆弱性は非常に残念であると言えます。
サービス拒否(DoS攻撃)関連:
Microsoft社がZDIの要望に応えてくれたのか、今月修正された20件のサービス拒否(DoS攻撃)関連の脆弱性について、わずかながら詳細な情報が提供されています。
Message Queuingの脆弱性は、攻撃者が特別に細工されたパケットをサービスに送信することで、サービスの可用性が損なわれるものです。同様の問題は、Connected Devices Platform Service(Cdpsvc)にも見られます。また、IP Helperの脆弱性では、特別に細工されたパケットを受信するとアプリケーションがクラッシュする可能性があります。Security Account Manager(SAM)の脆弱性では、アプリケーションがクラッシュしますが、自動的に再起動するかどうかは明らかにされていません。さらに、TPM(トラステッドプラットフォームモジュール)の脆弱性では、可用性が完全に失われる恐れがあります。
しかし、Microsoft社が今月のDoS攻撃関連の脆弱性への修正に関して提供している情報はこれだけです。さらなる詳細を知るには、もっと声を上げなければならないかもしれません。
なりすまし関連:
今月のリリースでは3件のなりすまし関連の脆弱性が修正されています。SmartScreenの脆弱性は、どこか見覚えのある内容です。この脆弱性を報告したリサーチャーは、これまでにもSmartScreenに関するなりすまし関連の脆弱性を複数報告しており、そのたびに以前のパッチが不十分だったのではないかと感じさせられます。
SharePointにおけるなりすまし関連の脆弱性は、悪用されるとクロスサイトスクリプティング(XSS)につながる不具合として表れています。Active Directory Federation Serverに関するなりすましの脆弱性については、ユーザ操作が必要とされる以外の詳細は明らかにされていません。
今月は新しいアドバイザリの発表はありませんでした。
次回のセキュリティアップデート
次回のパッチチューズデーは2月11日です。東京でのPwn2Own Automotive開催後の月でもあります。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2025年1月発表の全リスト
2025年1月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
The January 2025 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)