2025年3回目のパッチチューズデーを迎え、Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細を確認してみてください。リリース全体をまとめた動画（英語）もご覧いただけます。

2025年3月Adobe社からのセキュリティアップデート

3月のAdobe社の更新では、Adobe Acrobat Reader、Substance 3D Sampler、Illustrator、Substance 3D Painter、InDesign、Substance 3D Modeler、Substance 3D Designerに関する7件のセキュリティ情報が公開され、合計37件の脆弱性が修正されました。このうち6件の脆弱性はZDIプログラムを通じて報告されたものです。Readerの修正プログラムには、複数の緊急（Critical）なコード実行脆弱性に対する修正が含まれており、優先的に適用する必要があります。また、IllustratorやInDesignの修正プログラムにも、重大なコード実行脆弱性への対策が含まれています。これらの製品では、攻撃者が特別に細工したファイルをユーザに開かせることで脆弱性を悪用する可能性があります。

その他の修正プログラムは、Substance製品群に関するものです。Substance 3D Samplerの更新では7件の脆弱性が修正され、その中には重大なものも含まれています。Substance 3D Painterの修正プログラムでは、2件のコード実行脆弱性が対策されています。Substance 3D Modelerの更新では2件の脆弱性が修正されましたが、そのうちコード実行脆弱性に関するものは1件のみです。最後に、Substance 3D Designerの更新では、2件の重大なコード実行脆弱性が修正されました。

今月Adobe社が修正した脆弱性は、現時点では公に知られているものや、実際の攻撃で悪用されているものは確認されていません。Adobe社は、これらの更新プログラムの適用優先度を「3」と分類しています。

2025年3月Microsoft社からのセキュリティアップデート

今月、Microsoft社はWindowsおよびそのコンポーネント、OfficeおよびOfficeコンポーネント、Azure、.NETおよびVisual Studio、リモートデスクトップサービス、DNSサーバ、Hyper-Vサーバに関する56件の新たな脆弱性を公開しました。このうち、Trend ZDIプログラムを通じて提出された脆弱性の1件は、すでに悪用が確認されているものです。また、サードパーティ製品の脆弱性を含めると、今回のリリースの総数は67件に達します。

今回のパッチのうち、6件が緊急（Critical）、50件が重要（Important）に分類されています。全体の件数としては先月のリリースとほぼ同じですが、すでに悪用されている脆弱性の数は異例の多さです。

特に注目すべき点として、1件の脆弱性が公に知られているものとしてリストアップされており、さらに6件の脆弱性がリリース時点ですでに攻撃に利用されていると報告されています。ここからは、今月の注目すべきアップデートの詳細を見ていきます。まずは、トレンドマイクロのリサーチャーによって発見された脆弱性から紹介します。

CVE-2025-26633 - Microsoft Management Consoleのセキュリティ機能バイパスの脆弱性

この脆弱性は、Aliakbar Zahravi氏によって発見され、すでに標的型攻撃で悪用されていることが確認されています。問題はMSCファイルの処理にあり、予期しないMSCファイルを読み込む際に警告が表示されない点にあります。この脆弱性を悪用することで、攻撃者はファイルの評判チェックを回避し、現在のユーザのコンテキストでコードを実行することが可能です。ユーザの操作が必要となりますが、EncryptHub（別名Larva-208）にとっては大きな障害にはなっていないようです。この脅威アクターによる被害は600を超える組織に及んでおり、早急に修正プログラムを適用し、被害リストに加わらないよう対策を講じる必要があります。Zahravi氏は、近日中にこの攻撃に関する詳細を公開する予定です。

CVE-2025-24993 - Windows NTFSのリモートコード実行の脆弱性 / CVE-2025-24985 - Windows Fast FATファイルシステムドライバーのリモートコード実行の脆弱性

これらも悪用が確認されている脆弱性であり、どちらも同じ条件下で発生する点が共通しています。攻撃者がこれらの脆弱性を利用するには、ユーザが特別に細工された仮想ハードドライブ（VHD）をマウントする必要があります。根本的な原因としては、NTFSにおけるヒープベースのオーバーフロー、Fast FATにおける整数オーバーフローが挙げられます。一度悪用されると、攻撃者は影響を受けたシステム上でコードを実行できるようになります。さらに、後述の権限昇格の脆弱性と組み合わせることで、システムを完全に掌握される危険性があります。

CVE-2025-24983 - Windows Win32カーネルサブシステムの特権昇格の脆弱性

この脆弱性もすでに悪用されており、より伝統的な権限昇格の手法が用いられています。認証済みのユーザが特別に細工されたプログラムを実行することで、SYSTEM権限でコードを実行できるようになります。このような脆弱性は、一般的にコード実行の脆弱性と組み合わせることで、システムの完全な制御を奪うために利用されます。Microsoft社は、この脆弱性を悪用した攻撃の規模について詳細を明らかにしていませんが、攻撃の標的が限定的であるかどうかにかかわらず、迅速に修正プログラムを適用するべきです。

CVE-2025-24984 / CVE-2025-24991 - Windows NTFSの情報漏洩の脆弱性

今回のリリースで悪用が確認されている最後の2件の脆弱性です。トリガーとなる条件は異なるものの、どちらも未特定のメモリ内容が漏洩する情報漏洩の脆弱性です。CVE-2025-24984は物理アクセスが必要であり、悪用が確認されている脆弱性としては珍しいケースといえます。一方、CVE-2025-24991は、ターゲットが特別に細工されたVHDをマウントすることで悪用されます。漏洩する情報は標的を絞ったものではないものの、攻撃者にとって価値のあるデータである可能性が高いため、早急に修正プログラムを適用する必要があります。

その他の脆弱性

リモートコード実行関連：

次に、その他の重大（Critical）に分類されている脆弱性について見ていきます。DNSサーバに関する脆弱性の中には、攻撃者が特別に細工したDNSレスポンスを送信することでコードを実行できる可能性のあるものがあります。ただし、サーバがこのレスポンスを解析する可能性は非常に低いため、実際に悪用される可能性はほぼありません。DNSスプーフィングの経験があれば、この手法の難しさは理解できるでしょう。そのため、この脆弱性が実際に攻撃に使用される可能性は低いと考えられます。

一方、Officeのプレビューウィンドウ（Preview Pane）を攻撃ベクターとする脆弱性は、悪用される可能性が高いとみられます。しかし、Microsoft社の説明では「ユーザの操作が必要」とされており、やや曖昧な表現が使われています。ターゲットがプレビューウィンドウでファイルを開く必要があるのかもしれません。リモートデスクトップサービス（RDS）に関する脆弱性も懸念されるものであり、攻撃者が影響を受けたRDSゲートウェイに接続することでコードが実行される可能性があります。これに対し、リモートデスクトップクライアント（RDC）の脆弱性は、それほど深刻ではありません。ターゲットが悪意のあるサーバに接続しない限り、攻撃は成立しません。同様に、Windows Subsystem for Linux（WSL）の脆弱性も、悪用するには昇格された権限が必要なため、リスクは限定的といえます。

コード実行に関するその他の脆弱性についても見ていきます。Officeコンポーネントには「open and own（開くだけで制御を奪われる）」と呼ばれる脆弱性が複数存在しており、中でもAccessの脆弱性は公に知られています。Azure PromptFlowの修正プログラムでは、リモートの未認証の攻撃者が影響を受けたシステム上でコードを実行できる問題が修正されました。WinDbgに関する脆弱性では、.NETの暗号署名の検証が不適切であることにより、コード実行のリスクが発生しています。しかし、Microsoft社はこの脆弱性の具体的な悪用シナリオについて詳細を明らかにしていません。

また、exFATに関する脆弱性も報告されており、これはすでに悪用が確認されている2つの脆弱性と類似しているように見えます。ただし、現時点では実際に悪用されているとリストアップされていないため、それらの変種の可能性が高いと考えられます。加えて、RRAS（Routing and Remote Access Service）やテレフォニーサービスの脆弱性も報告されていますが、これらは毎月のように指摘されているものの、実際の攻撃に使用された例はまだ確認されていません。したがって、現時点で深刻な懸念材料とはいえないでしょう。

特権昇格関連：

今月のリリースでは、いくつかの権限昇格の脆弱性にも対応しています。ほとんどの脆弱性は、認証済みのユーザが特別に細工されたコードを実行することで、SYSTEMレベルのコード実行や管理者権限の取得につながるものです。さらに、Hyper-Vに関連する脆弱性では、カーネルメモリにアクセスできる可能性があります。Windows Serverの脆弱性は、ファイル削除を引き起こし、それを利用して権限昇格につなげることが可能です。類似の脆弱性は先月、実際に悪用されていると報告されました。Visual Studioの脆弱性の1つでは、影響を受けたアプリケーションの権限を昇格させることが可能です。これは、Azure Command Line Integration（CLI）の脆弱性でも同様です。

また、ASP.NET CoreとVisual Studioの脆弱性では、攻撃者が侵害されたユーザの権限を昇格させることができます。Azure Arc Installerの脆弱性はSYSTEM権限の取得につながるものですが、単にパッチを適用するだけでは問題が解決しません。この脆弱性は、グループポリシー（GPO）を介してオンボードされたマシンのみに影響します。したがって、影響を受ける環境では、新しいGPOを適用する必要があります。これにより、完全な対策が講じられます。

セキュリティ機能バイパス関連：

今月のリリースでは、すでに悪用が確認されているセキュリティ機能バイパス（SFB）の脆弱性に加え、さらに2件のSFBに関する修正が含まれています。1つ目はMapUrlToZoneの脆弱性であり、攻撃者がこのセキュリティ機能を回避することで、URLが誤ったゾーンで処理される可能性があります。2つ目はMark of the Webの脆弱性であり、過去にも脅威アクターによって悪用されてきたものです。この脆弱性を利用すると、本来危険であるはずのファイルが安全であるかのように扱われ、警告も表示されません。結果として、多くのユーザが不用意にクリックしてしまうリスクが生じます。

なりすまし関連：

3月のリリースに含まれるなりすまし関連の脆弱性のうち、2件はNTLMハッシュの漏洩に関するものです。どちらのケースでもユーザの操作が必要ですが、それは悪意のあるファイルを「選択する」といった単純な行為で済みます。攻撃が成功すると、攻撃者はNTLMハッシュを偽装し、さらなる侵害を引き起こす可能性があります。ファイルエクスプローラーのなりすまし関連の脆弱性については詳細が明らかにされていませんが、Microsoft社の説明によると、リモートの未認証の攻撃者が「ネットワーク経由でなりすましを行う」ことができるとされています。

情報漏洩関連：

今月のリリースに含まれる情報漏洩の脆弱性は2件のみであり、そのうちの1件はすでに攻撃が確認されているNTFSの情報漏洩の亜種と考えられます。この脆弱性が悪用された場合、漏洩するのは特定されていないメモリの内容のみです。同様に、Windows USBビデオドライバーの脆弱性も未特定のメモリ情報を漏洩させるものですが、Microsoft社はこれを「物理的な攻撃」と分類しています。具体的な攻撃手法は明らかにされていませんが、USBコンポーネントに関連する脆弱性であることを考慮すると、USBデバイスを接続することで攻撃が行われる可能性が高いと推測されます。

サービス拒否（DoS攻撃）関連：

3月のリリースにはサービス拒否（DoS）の脆弱性が1件含まれています。この脆弱性はDirectX Graphics Kernel Fileに存在しますが、攻撃を成功させるには管理者権限が必要です。そのため、現時点で深刻な脅威となる可能性は低いと考えられます。

なお、今月は新たなセキュリティアドバイザリの公開はありません。

次回のセキュリティアップデート

次回のパッチチューズデーは2025年4月11日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。

Microsoft社2025年3月発表の全リスト

2025年3月にMicrosoft社が発表した脆弱性（CVE）の全リストはこちらご参照ください。

参考記事：

The March 2025 Security Update Review
By: Dustin Childs, Zero Day Initiative

翻訳：与那城務（Platform Marketing, Trend Micro™ Research）

タグ

2025年3月セキュリティアップデート解説：Microsoft社は67件、Adobe社は37件の脆弱性に対応

目次