Microsoft は、合計で 2025 年に新しいパッチ セットをリリースして 2025 年をスタートしました。 161件のセキュリティ脆弱性 これには、攻撃に積極的に悪用された 3 つのゼロデイが含まれます。
161 件の欠陥のうち、重大度が「緊急」と評価されているのは 11 件、重大度が「重要」と評価されているのは 149 件です。もう 1 つの欠陥、Windows セキュア ブート バイパスに関連する Microsoft 以外の CVE (CVE-2024-7344) には重大度が割り当てられていません。によると、 ゼロデイ・イニシアチブ、このアップデートは、少なくとも 2017 年以来、1 か月で対処された CVE の最大数を記録しています。
修正は次のものに追加されます 7 つの脆弱性 Windows メーカーは、2024 年 12 月の Patch Tuesday アップデートのリリース以降、Chromium ベースの Edge ブラウザーでこの問題に対処しました。
Microsoft がリリースしたパッチの中で顕著なのは、Windows Hyper-V NT カーネル統合 VSP の 3 つの欠陥です (CVE-2025-21333、 CVE-2025-21334、 そして CVE-2025-21335、CVSS スコア: 7.8) 同社は、これが実際に活発に悪用されていると述べています –
同社は3つの脆弱性に関する勧告の中で、「攻撃者がこの脆弱性の悪用に成功すると、SYSTEM権限を取得する可能性がある」と述べている。
通例のように、これらの欠点がどのような状況でどのように悪用されているかは現時点では不明です。 Microsoft はまた、武器を使用する攻撃者の正体や攻撃の規模についても言及していません。
しかし、これらが権限昇格のバグであることを考えると、攻撃者がすでに他の手段でターゲット システムにアクセスしている場合、侵害後の活動の一部として使用される可能性が非常に高いと、Tenable のシニア スタッフ リサーチ エンジニアのサトナム ナラン氏は指摘しました。 。
「仮想化サービス プロバイダー (VSP) は、Hyper-V インスタンスのルート パーティションに常駐し、仮想マシン バス (VMBus) 経由で子パーティションに合成デバイス サポートを提供します。これは、Hyper-V が子パーティションに次のことを可能にする方法の基礎です。それが本物のコンピューターだと思い込ませるのです」と、Rapid7 の主任ソフトウェア エンジニアであるアダム バーネット氏は The Hacker News に語った。
「全体がセキュリティ境界であることを考えると、今日まで Hyper-V NT カーネル統合 VSP の脆弱性が Microsoft によって認められていないことは驚くべきことかもしれませんが、今後さらに多くの脆弱性が出現したとしても、まったく驚くべきことではありません。」
Windows Hyper-V NT カーネル統合 VSP の悪用は、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) にも影響を及ぼしました。 追加する 悪用された既知の脆弱性 (ケブ) カタログに準拠し、連邦政府機関に 2025 年 2 月 4 日までに修正を適用するよう求めています。
これとは別に、レドモンドは、バグのうち 5 つが公に知られていると警告しました。
NTLM ハッシュの不適切な開示につながる可能性のある CVE-2025-21308 は、CVE-2024-38030 のバイパスとして 0patch によって以前にフラグが立てられていることは注目に値します。この脆弱性に対するマイクロパッチは 2024 年 10 月にリリースされました。
一方、Microsoft Access の 3 つの問題はすべて、次の原因によるものとされています。 パッチなし.ai、AI ガイドによる脆弱性発見プラットフォーム。アクション1も 注目した これらの欠陥はリモート コード実行 (RCE) の脆弱性として分類されていますが、悪用するには、攻撃者がユーザーに特別に細工されたファイルを開かせる必要があるということです。
このアップデートは、重大度が重大な 5 つの欠陥を解消したことでも注目に値します。
- CVE-2025-21294 (CVSS スコア: 8.1) – Microsoft ダイジェスト認証のリモート コード実行の脆弱性
- CVE-2025-21295 (CVSS スコア: 8.1) – SPNEGO 拡張ネゴシエーション (NEGOEX) セキュリティ メカニズムのリモート コード実行の脆弱性
- CVE-2025-21298 (CVSS スコア: 9.8) – Windows Object Linking and Embedding (OLE) のリモート コード実行の脆弱性
- CVE-2025-21307 (CVSS スコア: 9.8) – Windows Reliable Multicast Transport Driver (RMCAST) のリモート コード実行の脆弱性
- CVE-2025-21311 (CVSS スコア: 9.8) – Windows NTLM V1 の特権昇格の脆弱性
「電子メール攻撃のシナリオでは、攻撃者が特別に作成した電子メールを被害者に送信することで脆弱性を悪用する可能性がある」と Microsoft は CVE-2025-21298 のセキュリティ情報で述べています。
「この脆弱性の悪用には、被害者が影響を受けるバージョンの Microsoft Outlook ソフトウェアで特別に細工された電子メールを開くか、被害者の Outlook アプリケーションが特別に細工された電子メールのプレビューを表示するかのいずれかが含まれる可能性があります。これにより、攻撃者が被害者のコンピュータ上でリモート コードを実行する可能性があります。」機械。”
この欠陥を防ぐために、ユーザーは電子メール メッセージをプレーン テキスト形式で読むことをお勧めします。また、ユーザーが不明なソースまたは信頼できないソースからの RTF ファイルを開くリスクを軽減するために、Microsoft Outlook の使用を推奨しています。
「SPNEGO Extended Negotiation (NEGOEX) セキュリティ メカニズムにある CVE-2025-21295 の脆弱性により、認証されていない攻撃者がユーザーの介入なしに、影響を受けるシステム上で悪意のあるコードをリモートで実行することが可能になります」と Qualys 脅威研究ユニットの脆弱性研究マネージャー、Saeed Abbasi 氏は述べています。
「攻撃の複雑さ (AC:H) が高いにもかかわらず、悪用に成功すると、中核となるセキュリティ メカニズム層が侵害され、潜在的なデータ侵害につながることで企業インフラストラクチャが完全に侵害される可能性があります。有効な認証情報が必要ないため、広範な影響が及ぶリスクは重大であり、早急なパッチ適用と慎重な緩和策が必要です。」
CVE-2025-21294 に関しては、悪意のある攻撃者がダイジェスト認証を必要とするシステムに接続し、競合状態を引き起こして解放後の使用シナリオを作成し、それを利用して任意のコードを実行することで、この脆弱性を悪用する可能性があると Microsoft は述べています。 。
「Microsoft Digest は、サーバーがクライアントから最初のチャレンジ レスポンスを受信したときに初期認証を実行するアプリケーションです」と Immersive Labs のサイバーセキュリティ エンジニア、Ben Hopkins 氏は述べています。 「サーバーは、クライアントがまだ認証されていないことを確認することによって機能します。CVE-2025-21294 には、攻撃者がリモート コード実行 (RCE) を達成するためにこのプロセスを悪用することが含まれています。」
悪用される可能性が高いとタグ付けされた脆弱性のリストの中には、Windows BitLocker に影響を与える情報漏えいの欠陥があります (CVE-2025-21210、CVSS スコア: 4.2)、攻撃者が被害マシンのハードディスクに物理的にアクセスできると仮定すると、休止状態イメージを平文で復元できる可能性があります。
「休止状態イメージはラップトップがスリープ状態になるときに使用され、デバイスの電源が切れた瞬間に RAM に保存されていたコンテンツが含まれます」と Immersive Labs の脅威研究担当シニア ディレクターの Kev Breen 氏は述べています。
「RAM には、開いているドキュメントやブラウザ セッションに含まれている可能性のある機密データ (パスワード、資格情報、PII など) が含まれている可能性があり、すべて無料ツールを使用して休止状態ファイルから回復できるため、これは重大な潜在的な影響を及ぼします。」
他のベンダーからのソフトウェア パッチ
Microsoft 以外にも、過去数週間に他のベンダーからも次のようないくつかの脆弱性を修正するセキュリティ アップデートがリリースされました。
