エクスプロイト&脆弱性
2025年4月 セキュリティアップデート解説:Microsoft社は134件、Adobe社は54件の脆弱性に対応
今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
今月も第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2025年4月Adobe社からのセキュリティアップデート
今月、Adobe社はCold Fusion、After Effects、Media Encoder、Bridge、Commerce、AEM Forms、Premiere Pro、Photoshop、Animate、AEM Screens、FrameMaker、そしてAdobe XMP Toolkit SDKに関する12件のセキュリティ情報を公開し、合計54件の脆弱性に対応しました。
中でもCold Fusionに関するアップデートは優先度1に分類されていますが、今回修正された不具合については、現時点で悪用されているという報告はありません。AEM Formsのアップデートは優先度2に設定されていますが、これは新しい脆弱性ではなく、依存関係のアップデートに対応したものです。Commerceに関するパッチも優先度2に設定されていますが、対象となる脆弱性は深刻度が「重要(Important)」および「注意(Moderate)」となっています。それでも、セキュリティバイパスの問題は無視できるものではありません。その他のAdobe製品に関するパッチは、すべて優先度3とされています。
After Effectsのパッチでは7件の脆弱性が修正されており、そのうち2件は深刻度が「緊急(Critical)」であるコード実行の脆弱性です。Media Encoderのアップデートでは2件のコード実行関連の脆弱性が修正されています。Bridgeに関する更新では、「緊急」の脆弱性1件が修正されました。Premiere ProおよびPhotoshopについても同様に、それぞれ1件の「緊急」に分類された脆弱性への修正が含まれています。
Animateのパッチでは、2件の「緊急」、2件の「重要」の脆弱性が修正されました。AEM Screensに対するアップデートでは、1件のクロスサイトスクリプティング(XSS)の脆弱性が修正されています。FrameMakerに関しては10件の脆弱性が修正されており、その中には複数のコード実行に関する脆弱性も含まれています。最後に、Adobe XMP Toolkit SDKのアップデートでは、5件のOut-of-Bounds(OOB)Readによるメモリリークが修正されました。
なお、今月Adobe社が修正した脆弱性のいずれについても、リリース時点で公に知られているものや、実際に攻撃に利用されているものはありません。
2025年4月Microsoft社からのセキュリティアップデート
今月、Microsoft社はWindowsおよびそのコンポーネント、Officeおよびその関連コンポーネント、Azure、.NETおよびVisual Studio、BitLocker、Kerberos、Windows Hello、OpenSSH、そしてWindowsの軽量ディレクトリアクセスプロトコル(LDAP)に関して、合計124件の新たな脆弱性を公開しました。このうち1件はトレンドマイクロのZDIプログラムを通じて報告されたものです。さらにサードパーティに関連する脆弱性も加わり、今月の合計は134件にのぼります。
本日公開されたパッチのうち、11件は深刻度が「緊急(Critical)」、2件は「低(Low)」、それ以外はすべて「重要(Important)」に分類されています。4月のリリースは例年ボリュームが多い傾向にあり、今回もその例に漏れず充実した内容となっています。せめてもの救いとして、今回修正された脆弱性のうち、リリース時点で公に知られていた、あるいは実際に攻撃に使用されていたのは1件だけです。
ここからは、今月の注目すべきアップデートの中でも、すでに実際に悪用されている脆弱性から詳しく見ていきます。
CVE-2025-29824 - Windows Common Log File System Driver における権限昇格の脆弱性
この権限昇格の脆弱性は、すでに実際に悪用されていると報告されており、攻撃者がSYSTEM権限で任意のコードを実行できる可能性があります。この種の脆弱性は、コード実行の脆弱性と組み合わされてシステムの完全な乗っ取りに使われることがよくあります。Microsoft社は、この攻撃がどの程度広がっているかについては明言していませんが、いずれにしても迅速にテストと展開を進めることが重要です。
CVE-2025-26663/CVE-2025-26670 - Windows Lightweight Directory Access Protocol (LDAP) におけるリモートコード実行の脆弱性
これらの脆弱性は、リモートかつ認証されていない攻撃者が、細工されたLDAPメッセージを送信することで、対象システム上で任意のコードを実行できる可能性があります。攻撃を成功させるにはレースコンディションの勝利が必要ですが、これを回避する手法はすでに多数確認されています。LDAPサービスは多くの環境で利用されているため、攻撃対象も非常に多くなります。加えて、ユーザ操作が不要であることから、ワームのように自己拡散する可能性もあります。LDAPトラフィックはネットワークの境界を越えないようにすべきですが、それだけに頼らず、早急にテストと展開を進めてください。なお、Windows 10を使用している場合は、現時点で該当パッチが提供されていません。
CVE-2025-27480/CVE-2025-27482 - Windows Remote Desktop Services におけるリモートコード実行の脆弱性
これらもユーザの操作を必要とせず、「緊急(Critical)」に分類される深刻な脆弱性です。攻撃者は、Remote Desktop Gatewayのロールが構成された対象システムに接続するだけで、レースコンディションを引き起こし、コードを実行することが可能です。RDSはリモート管理に広く使われているため、インターネットに公開されているケースも少なくありません。やむを得ず外部公開する場合は、既知のユーザに対するIP制限などの対策を講じたうえで、パッチのテストと適用を進めてください。
CVE-2025-29809 - Windows Kerberos におけるセキュリティ機能バイパスの脆弱性
今回のリリースにはいくつかのセキュリティ機能バイパス(SFB)に関する脆弱性が含まれていますが、その中でも特に注目されるのがこの脆弱性です。ローカルの攻撃者がこの脆弱性を悪用することで、Kerberosの認証情報を漏洩させる可能性があります。さらに、この脆弱性に対応するためにはパッチ適用だけでなく追加の対応が必要となる場合があります。たとえば、Virtualization-Based Security(VBS)を使用している場合は、こちらのガイダンスを参照し、ポリシーを更新したうえで再展開を行う必要があります。
その他の脆弱性
「緊急」に分類された修正脆弱性
他の「緊急(Critical)」に分類されている修正パッチを見ていくと、いくつかはOfficeやExcelに影響を与えるものです。これらの脆弱性はいずれも、プレビュウウィンドウ(Preview Pane)が攻撃経路となる可能性がありますが、Microsoft社はユーザの操作が必要であるとしています。この点については、プレビューウィンドウを通じて添付ファイルを手動で表示する必要がある、という意味合いなのかもしれません。なお、Macユーザにとっては残念なことに、Microsoft Office LTSC for Mac 2021および2024向けの更新プログラムはまだ提供されていません。
「緊急」とされているものでは、Hyper-Vに関する脆弱性もありますが、こちらは認証とソーシャルエンジニアリングが必要となるため、実際に悪用される可能性は低いと考えられます。最後に「緊急」の脆弱性としては、TCP/IPに関するもので、内容としては非常に興味深いものです。DHCPv6を中心にしており、攻撃者が正規のDHCPv6リクエストに対して細工されたレスポンスを送信することで、対象システム上でコードを実行できる可能性があります。これは通常、中間者(MitM:Machine-in-the-Middle)攻撃が必要とされるシナリオです。どのようにして細工されたレスポンスがコード実行に至るのか、非常に気になるところです。この脆弱性をMicrosoft社に報告した研究者が、今後詳細な解析結果を公開してくれることを期待したいところです。
リモートコード実行関連:
次に、その他の「リモートコード実行」の脆弱性について見ていきます。Officeコンポーネントに関する「開くだけで乗っ取られる」タイプの脆弱性が今月もいくつか報告されていますが、これらにはプレビュウウィンドウを経由する攻撃ベクトルは存在しません。また、RRAS(ルーティングとリモートアクセスサービス)やテレフォニーサービスに関する脆弱性も今月も含まれています。これらはもはや毎回の定番となりつつあるようです。
RDPクライアントには1件の脆弱性がありますが、悪用するにはユーザが不正なサーバに接続する必要があります。また、SharePointには2件の脆弱性が報告されていますが、これには少々困惑します。いずれも「サイト所有者」の権限が必要とされていますが、一方ではこの権限を「低(Low)」とし、もう一方では「高(High)」としています。このようなMicrosoft社の記述の一貫性のなさには困らされます。
さらに一貫性の問題で言えば、もうひとつRDS Gatewayに関する脆弱性があります。これはすでに紹介された2件の脆弱性とまったく同じ内容で、説明も同じ、CVSSスコアも同じ、報告者も同じですが、なぜかこちらだけは「重要(Important)」と評価されています。
特権昇格関連:
今月のリリースには、ほぼ50件にのぼる「特権昇格」の脆弱性が含まれており、その多くは、認証されたユーザが細工されたコードを実行することで、SYSTEMレベルのコード実行や管理者権限(Mac版Microsoft AutoUpdateの場合はROOT)を得ることができるという内容です。ただし、いくつかの例外的なケースもあります。
Azureに関する脆弱性では、DLLをエンクレーブに読み込むことで、そのエンクレーブ内でコードを実行できる可能性があります。Visual Studioに存在する脆弱性では、攻撃者が標的ユーザの権限レベルに昇格することが可能です。Digital Media関連の脆弱性では、コードの実行権限が「中(Medium)」の位に昇格する可能性があります。カーネルに存在する脆弱性の1つは、Secure Kernelへの権限昇格を可能にするもので、これは比較的新しい機能であり、もし間違っていなければ、今回がこの種の脆弱性としては初めての報告となります。
Kerberosに関する脆弱性も興味深いもので、Key Distribution Center(KDC)を経由して追加の権限を取得できる可能性があります。ただし、これを実現するには中間者(MitM)攻撃を含む複数の手順を踏む必要があります。
今月最後に報告された特権昇格関連の脆弱性は、System Centerに関するものですが、現時点では修正パッチは提供されていません。というのも、既存のSystem Center環境には影響がないとされているためです。ただし、Microsoft社の説明によれば、既存のSystem Centerインストーラーファイル(.exe)を使って新しいインスタンスを展開する場合には影響を受ける可能性があるとのことです。そのため、パッチの代わりに、Microsoft社は既存のセットアップファイルを削除し、最新版のSystem Center製品をダウンロードして使用するよう推奨しています。リンクはセキュリティ情報の中に記載されています。
セキュリティ機能バイパス関連:
先に紹介した「セキュリティ機能バイパス」に加え、今月はさらに8件の脆弱性が公開されています。多くの場合、脆弱性の名称を見れば、どのセキュリティ機能がバイパスされるのかが分かる内容となっています。たとえば、BitLockerに関する脆弱性は、BitLockerの保護を回避できるものであり、Helloに関する脆弱性はWindows Helloの認証を回避可能です。Mark of the Web(MotW)に関する脆弱性では、MotWの保護機能が無効化されます。Security Zone Mappingに関する脆弱性では、コンテンツが本来属すべきゾーンとは異なるゾーンのコンテンツとして扱われてしまう可能性があります。
Windows Virtualization-Based Security(VBS)エンクレーブに関連する脆弱性では、認証済みの攻撃者がローカルでセキュリティ機能を回避できる可能性があります。OneNoteおよびWordにおける脆弱性は、本来であればブロックされるべきファイルを開けてしまうという問題です。ここでもMacユーザは、修正パッチの提供を待つ必要があります。最後に、Defenderに関する脆弱性では、通常であればブロックされるはずのアプリケーションが実行可能になってしまう恐れがあります。
情報漏洩関連:
4月のリリースに含まれる情報漏洩の脆弱性を見ると、その一部は、特定されていないメモリ内容の漏洩といった比較的単純な情報流出にとどまっています。また、「機密情報」とされる漠然とした内容が漏れるものもいくつかあります。Azure Local Clusterに存在する脆弱性では、トークンや認証情報、リソースID、SASトークン、ユーザのプロパティなど、デバイスに関する情報やその他の機密情報が漏洩する可能性があります。
Dynamics Business Centralにおける脆弱性では、攻撃者がメモリから平文のパスワードを復元できる恐れがあります。NTFSに関する脆弱性では、認証された攻撃者が、本来はフォルダー内の内容を一覧表示する権限を持っていない場合でも、ファイルパス情報を取得できる可能性があります。同様の問題はReFSに関する脆弱性でも見られます。
AzureのAdmin Centerにおける脆弱性では、ローカルファイルシステムに対する読み取り専用の不正アクセスが可能になる可能性があります。4月に報告された情報漏洩の脆弱性の最後としては、Outlook for Androidに関するもので、悪用された場合、攻撃者が特定のメールを読み取ることができる恐れがあります。
サービス拒否(DoS攻撃)関連:
今月パッチが提供された14件のサービス拒否(DoS)に関する脆弱性について見ていきます。多くは「攻撃者がネットワーク経由でそのコンポーネントに対してサービス拒否を引き起こす可能性がある」と記されているだけです。とはいえ、それが一時的なDoSなのか、恒久的なものなのかについての情報は明記されていません。たとえば、システムがブルースクリーンになるのか、再起動が必要なのか、攻撃が止めば自動的に回復するのか、といった点は不明です。このあたりは、おそらく明かされることはないのでしょう。
なりすまし関連:
最後に、今月パッチが提供された「なりすまし」に関する脆弱性は3件あり、そのうち2件は深刻度が「低(Low)」と評価されています。iOS版Edgeに存在する脆弱性では、ユーザが安全だと思ってクリックしたものを、実際には誘導されてしまう可能性があります。なお、このうちの1件は、ブラウザを複数インスタンスで開く必要があるとされており、現実的にはあまり起こりそうにありません。
一方、Windows Helloに関する「重要(Important)」の脆弱性については、認証されていない攻撃者がローカルでなりすましを行える可能性があるとされていますが、どのような方法で行われるかについて、Microsoft社からの具体的な説明はありません。
なお、今月は新たなアドバイザリの公開はありません。
次回のセキュリティアップデート
次回のパッチチューズデーは2025年5月13日です。その頃は「Pwn2Own Berlin」の準備中となっています。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2025年4月発表の全リスト
2025年4月にMicrosoft社が発表した脆弱性(CVE)の全リストはこちらご参照ください。
参考記事:
The April 2025 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)