エクスプロイト&脆弱性
2025年2月 セキュリティアップデート解説:Microsoft社は67件、Adobe社は45件の脆弱性に対応
「Pwn2Own Automotive」を無事に終え、2025年2回目のパッチチューズデーを迎えました。今回もMicrosoft社とAdobe社が最新のセキュリティパッチをリリースしています。それでは今月の詳細情報を確認していきましょう。リリースの概要は、以下の動画(英語)からもご覧いただけます。
「Pwn2Own Automotive」を無事に終え、2025年2回目のパッチチューズデーを迎えました。今回もMicrosoft社とAdobe社が最新のセキュリティパッチをリリースしています。それでは今月の詳細情報を確認していきましょう。リリースの概要は、以下の動画(英語)からもご覧いただけます。
2025年2月Adobe社からのセキュリティアップデート
2025年2月、Adobe社は7件のセキュリティ情報を公開し、Adobe InDesign、Commerce、Substance 3D Stager、InCopy、Illustrator、Substance 3D Designer、およびAdobe Photoshop Elementsに関する45件の脆弱性に対応しました。
最も大規模なアップデートは、Commerce向けのもので、31件の脆弱性が修正されています。クロスサイトスクリプティング(XSS)の脆弱性がいくつか修正されているほか、セキュリティ機能のバイパスや、深刻度が「緊急」と評価されるコード実行の脆弱性も含まれています。
InDesign向けのアップデートでは7件の脆弱性が修正され、そのうち4件は「緊急」と評価されています。Illustratorの3件の脆弱性もすべて「緊急」と評価されており、不正なファイルを開いた際に任意のコードが実行される可能性があります。
Substance 3D Stager向けのパッチでは、1件のサービス拒否(DoS)の脆弱性が修正されています。InCopy向けの修正も1件のみですが、こちらは「緊急」と評価されたコード実行の脆弱性です。同じくSubstance 3D Designer向けのパッチも、1件の「緊急」なコード実行の脆弱性に対応しています。
最後に、Photoshop Elements向けのアップデートでは、重要度が「重要」と評価された権限昇格の脆弱性が修正されました。
今回Adobe社が修正した脆弱性の中には、公開情報として知られているものや、リリース時点で悪用されているものは含まれていません。Adobeは、これらのアップデートの適用優先度を「3」と分類しています。
2025年2月Microsoft社からのセキュリティアップデート
今月、MicrosoftはWindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、Azure、Visual Studio、Remote Desktop Servicesに関する57件の新しい脆弱性対応を公開しました。そのうち2件はTrend ZDIプログラムを通じて報告されたものです。さらに、サードパーティの脆弱性対応を加えると、今回のリリース全体で修正された脆弱性の総数は67件となります。
今回のパッチのうち、3件が「緊急」、53件が「重要」、1件が「注意」の深刻度に分類されています。過去に記録的な件数のアップデートが続いたことを考えると、今回の修正件数は比較的予想の範囲内といえます。この傾向が続き、今後も大規模なリリースではなく適切なボリュームでの修正が主流となることを期待したいところです。
今回の脆弱性のうち、2件は公開情報としてすでに知られており、さらに2件はリリース時点ですでに悪用されていることが確認されています。では、現在悪用されている脆弱性を含め、今月の特に注目すべきアップデートについて詳しく見ていきましょう。
CVE-2025-21391 - Windows Storage の特権昇格の脆弱性
この脆弱性は、今月のリリースで修正された実際に悪用されている脆弱性の一つであり、これまで公に悪用が確認されたことのないタイプのものです。この脆弱性により、攻撃者は特定のファイルを削除できるようになります。それがどのようにして権限昇格につながるのかについては、ZDIのSimon Zuckerbraun氏がこちらの記事(英語)で詳細に解説しています。
これまでにも類似の問題が確認されたことはありますが、この手法が実際に悪用されたのは今回が初めてのようです。また、完全にシステムを乗っ取るために、コード実行の脆弱性と組み合わせて利用される可能性が高いと考えられます。迅速にテストし、パッチを適用してください。
CVE-2025-21418 - Windows Ancillary Function Driver for WinSock の特権昇格の脆弱性
これは、現在実際に悪用されているもう一つの脆弱性ですが、前述のものよりも従来型の特権昇格の脆弱性といえます。この場合、認証済みのユーザが特別に細工されたプログラムを実行することで、SYSTEM権限でコードを実行できるようになります。このような脆弱性は通常、コード実行の脆弱性と組み合わせて使用され、システムの完全な乗っ取りにつながります。
Microsoft社は、この攻撃がどの程度広がっているのかについて具体的な情報を提供していませんが、どれほど標的型の攻撃であったとしても、迅速にパッチを適用することをおすすめします。
CVE-2025-21376 - Windows Lightweight Directory Access Protocol (LDAP) のリモートコード実行の脆弱性
この脆弱性により、リモートの未認証の攻撃者が、細工されたリクエストをターゲットのシステムに送信するだけで任意のコードを実行できるようになります。ユーザの操作を必要としないため、影響を受けるLDAPサーバ間でワームのように拡散する可能性があります。
Microsoftはこの脆弱性について「悪用の可能性が高い」と分類しています。そのため、現時点では実際の攻撃が発生していない場合でも、早晩悪用される可能性があると考え、迅速にパッチを適用することをおすすめします。
CVE-2025-21387 - Microsoft Excel のリモートコード実行の脆弱性
この脆弱性は、Excelに関するいくつかの修正の一つであり、攻撃経路としてプレビューウィンドウが使用される可能性があります。ただし、Microsoft社はこの脆弱性に関して「ユーザの操作が必要」とも記述しており、やや混乱を招く内容となっています。
また、この脆弱性に完全に対応するには、複数のパッチを適用する必要があるとされています。不正なExcelファイルを開くことによる攻撃のほか、Outlookのプレビュー機能を介した攻撃の可能性も考えられます。いずれの場合も、必要なすべてのパッチを確実にテストし、適用してください。
その他の脆弱性
リモートコード実行関連:
続いて、その他の「緊急」評価の脆弱性を見ていきます。DHCPサーバにリモートコード実行の脆弱性がありますが、これは隣接ネットワーク上の攻撃者(Adjacent attackers)のみがアクセス可能なものであり、さらに中間者攻撃(MITM: Machine-In-The-Middle)攻撃を必要とするため、実際に悪用される可能性は非常に低いと考えられます。もう一つの「緊急」な脆弱性はMicrosoft Dynamics 365に存在していますが、こちらはすでにMicrosoft社によって修正済みのため、特に対応の必要はありません。
その他のリモートコード実行の脆弱性を見てみると、多くのパッチがExcelやその他のOfficeコンポーネントに影響を与えています。多くのExcel関連の脆弱性では、プレビューウィンドウが攻撃経路となる可能性がありますが、Microsoft社はこれらに関して「ユーザの操作が必要」と明記しています。いくつかのアップデートは複数のパッチを適用する必要があるため、更新を展開する際には十分注意してください。
SharePointに関する脆弱性は、特別な権限を必要としますが、SharePoint上でサイトを作成できるユーザであれば、その権限を持っていることになります。Digest認証に関する2つの脆弱性はリモートから悪用可能ですが、認証が必要です。テレフォニーサービスおよびルーティング&リモートアクセスサービス(RRAS: Routing and Remote Access Service)に関する複数の修正も含まれていますが、これらが実際に悪用される可能性は低いでしょう。
最後のリモートコード実行関連の脆弱性は、High Performance Compute(HPC)パックに存在し、ターゲットとなるヘッドノードに接続された他のクラスターやノードに対してRCEを実行できる可能性があります。HPCクラスターは複雑な環境であることが多いですが、今回は単一のパッチをテストし、適用するだけで対応できます。
特権昇格関連:
今月のリリースでは、複数の特権昇格の脆弱性も修正されています。これらの多くは、認証済みのユーザが細工されたコードを実行することで、SYSTEMレベルのコード実行や管理者権限の取得につながる可能性があります。そのうちの一つは、ZDIのSimon Zuckerbraun氏によって報告されたものです。CVE-2025-21373はリンクフォロー型の脆弱性です。「msiserver」サービスはRedirection Guardの緩和策によって保護されていますが、攻撃者がNTFSフォーマットのリムーバブルドライブ(USBドライブなど)をマウントできる場合、この緩和策を回避することが可能です。この場合、低権限のユーザであっても、権限を昇格し、SYSTEM権限でコードを実行できるようになります。
このタイプの特権昇格の脆弱性には、いくつかの例外があります。Windows Setup Filesの脆弱性は、ファイルの削除を可能にするもので、現在悪用されている脆弱性と似た性質を持っています。NTFSに存在する脆弱性では、フォルダーの内容を一覧表示できる可能性がありますが、それがどのように特権昇格につながるのかは不明です。
AutoUpdateに存在する脆弱性は、macOSバージョンにのみ影響し、ルート権限の取得につながります。Azure Network Watcherの脆弱性について、Microsoftは詳細を提供していませんが、攻撃には「Contributor」または「Owner」の権限が必要とされています。最後に、Visual Studioに関する脆弱性は、攻撃者が影響を受けるアプリケーションを実行しているユーザの権限を取得できる可能性があります。
セキュリティ機能バイパス関連:
今回のリリースには、セキュリティ機能のバイパスに関する脆弱性が2件含まれており、そのうちMicrosoft Surfaceの脆弱性はすでに公に知られているものです。この脆弱性により、攻撃者がUEFIの保護を回避できる可能性がありますが、悪用には多くの制約があると考えられます。
カーネルに関する脆弱性は、ポリシーの観点から興味深いものです。この脆弱性により、攻撃者はユーザアカウント制御(UAC)のプロンプトをバイパスできるようになります。Microsoftは以前、UACはセキュリティ境界ではないとして、UACのバイパスをセキュリティ上の問題とは見なしていませんでした。しかし、今回の修正によって、Microsoft社はこの方針を静かに変更したことを示唆しています。
情報漏洩関連:
今月の情報漏洩の脆弱性は1件のみで、Excelに関連するものです。この脆弱性により、特定されていないメモリ内容の情報漏洩が発生する可能性があります。
改ざん関連:
また、Remote Desktopに改ざんの脆弱性が1件ありますが、Microsoft社は具体的にどのデータが改ざんされるのかを明らかにしていません。ただし、攻撃には中間者(MITM)攻撃が必要であることが記載されています。
サービス拒否(DoS攻撃)関連:
今月は合計9件のサービス拒否(DoS)の脆弱性が修正されていますが、いつもどおり詳細な情報は限られています。DHCPサーバやInternet Connection Sharing(ICS)サービスに関連する脆弱性は、隣接ネットワーク上の攻撃者によって悪用される可能性があります。その他のDoS脆弱性は、攻撃者が特定の細工されたメッセージをターゲットに送信することで影響を与えるものです。しかし、Windows Deployment Servicesに関する脆弱性は異なります。これはローカル環境で発生する脆弱性であり、認証が必要です。攻撃者はファイルの内容を上書きし、サービスを利用不可の状態にすることができます。
なりすまし関連:
今回のリリースでは3件のなりすましの脆弱性が修正されています。1つ目はNTLMに関するもので、すでに公に知られている脆弱性です。予想どおり、NTLMのなりすましとは、NTLMv2ハッシュのリレー攻撃を意味します。2つ目のOutlookのなりすましの脆弱性は、迷惑メールフォルダーに影響を与えるもので、送信者が別の人物であるかのように見せかけることができます。3つ目はiOSおよびAndroid向けのEdgeに関するものですが、Microsoftはこの脆弱性について詳細な情報を提供していません。もしiOSまたはAndroidでEdgeを使用している場合は、それぞれのアプリストアで最新のアップデートをダウンロードしてください。
今月は新しいアドバイザリの発表はありませんでした。
次回のセキュリティアップデート
次回のパッチチューズデーは2025年3月11日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2025年2月発表の全リスト
2025年2月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
The February 2025 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)