Microsoft、悪用されたHyper-V権限昇格の欠陥を修正 • The Register

火曜日のパッチ 2025 年の最初のパッチ チューズデーでは、Microsoft が Hyper-V ハイパーバイザーで攻撃を受けている 3 つの権限昇格の欠陥に加え、注目に値するその他の多くの問題に対処しました。

Hyper-V の脆弱性は次のとおりです。 CVE-2025-21333、 CVE-2025-21334、 そして CVE-2025-21335、すでにゼロデイとして実際に悪用されていました。これらは重大度の点で重要と評価されており、CVSS スケールで 10 点中 7.8 点を獲得しており、メモリ安全性に関するバグの悪用が含まれています (解放後の使用が 2 件、ヒープ バッファ オーバーフローが 1 件)。

これは、攻撃者が Windows ボックスにおける究極の権限である SYSTEM 権限を取得できる可能性があるため、恐ろしいことです。とはいえ、この脆弱性はゲストのエスケープとして請求されるのではなく、単にマシン上にすでに存在する不正ユーザーまたはマルウェアが最高の権限を取得することを許可するだけだと言われています。問題が何であれ、この問題は Windows 10 と 11、さらに Windows Server の 2022 リリースと 2025 リリースに存在します。

Microsoftは、実際の悪用の範囲や性質について詳しくは明らかにしていない。

Redmond のパッチ ドロップには、10 点中 9.8 と評価され、したがって重大とみなされている欠陥に対する 3 つの修正も含まれています。

最初、 CVE-2025-21311、今回は NTMLv1 認証システムにおける別の特権昇格の欠陥であり、リモートから悪用される可能性があります。パッチは利用可能ですが、Redmond は緩和戦略を追加しました。LmCompatibilityLevel を最大値 (5) に設定します。これにより、NTLMv1 はブロックされますが、NTLM2 は引き続き機能します。

他の 2 つの欠陥はどちらもリモート コードの実行を容易にする可能性があります。おそらく、より深刻な問題は Windows Object Linking and Embedding (OLE) フレームワークにあります。 CVE-2025-21298。このバグが悪用されると、ユーザーが特別に細工された Outlook 電子メールを開く可能性があります。この問題は、Windows 10 と 11、および 2016 年以降の Windows Server のサポートされているすべてのバージョンに影響します。

もう 9.8 点の号は、 CVE-2025-21307、ターゲットには、Windows Pragmatic General Multicast (PGM) ポートでアクティブにリッスンするプログラムが少なくとも 1 つ必要です。PGM は、複数の受信者へのデータの同時配信を可能にするネットワーク コンポーネントです。 Microsoft は、「認証されていない攻撃者が、ユーザーの介入なしに、サーバー上の Windows Pragmatic General Multicast オープン ソケットに特別に作成したパケットを送信することにより、この脆弱性を悪用する可能性がある」と警告しています。これらの有害なパケットにより、リモート ターゲット上で任意のコードが実行される可能性があります。当然のことながら、Microsoftはそれがどのようにして起こるのかについては明らかにしていない。

これは良いニュースでも悪いニュースでもあるバグです。良い点は、PGM はリクエストを認証しないため、パブリック インターネットに公開することはお勧めできません。また、ほとんどの人は公開しないと思われます。悪いニュースは、そのアドバイスを無視した人々が暴露されることです。

進んでいくと、 1月のパッチリスト には、さらに 2 つのサブ 9.0 の重大な欠陥が含まれています。これらは、誰もが好むスプレッドシート Excel にあります。

両方 CVE-2025-21362 そして CVE-2025-21354 ユーザーがだまされてマルウェアが詰め込まれたファイルを開かせることができ、悪用するために特別な権限を必要としない場合にコードの実行を許可します。

Immersive Labs の主任サイバー セキュリティ エンジニア、ベン マッカーシー氏は、「Excel のこれらの脆弱性が懸念されるのは、これらの脆弱性が実際に悪用される可能性が高いということです。つまり、Microsoft は、これらの脆弱性が攻撃者によって武器化される可能性があると疑っている可能性が高いということです」と述べています。

「ソーシャル エンジニアリングは依然として攻撃者が初期アクセスを取得する主な手段の 1 つであるため、Excel を使用する企業は Excel の脆弱性を真剣に受け止め、直ちにパッチを適用する必要があります。」

その他の修正により、Microsoft が重大と考える欠陥に対してリモート デスクトップ サービスが強化されます。 CVE-2025-21309 そして CVE-2025-21297 どちらの脆弱性も、攻撃者が「リモート デスクトップ ゲートウェイの役割を持つシステムに接続し、競合状態を引き起こして解放後の使用シナリオを作成し、これを利用して任意のコードを実行する」ことで、いずれかの脆弱性を悪用できると Microsoft は述べています。

それから、 CVE-2025-21380、Azure Marketplace SaaS リソースの情報漏えいの脆弱性。 CVE-2025-21385、パービューの情報漏洩。そして CVE-2025-21178、Visual Studio のコード実行ホール。

穴については別の要約があります ゼロデイ・イニシアチブで。

対処すべき問題が増える

Adobe の 1 月のパッチでは以下の欠陥が修正されています フォトショップ、 イラストレーター、 Substance3D ステージャー、 そして アニメ化。

Photoshop 2024 と 2025 には、Windows と macOS の両方に影響を与える脆弱性があり、Microsoft と同様、Adobe も独自の脆弱性を抱えているため、これを重大な懸念事項とみなしています。 評価 これは、「潜在的にユーザーが気付かないうちに悪意のあるネイティブコードの実行を可能にする」脆弱性の修正を優先することを示唆しています。

Photoshop の欠陥は、任意のコードが実行される可能性があるため、その定義に当てはまります。

Illustrator は、CVSS スコアが 7.8 の 2 つのコード実行の脆弱性に対する修正を受け取りました。 Substance 3D Stager は 5 つの同様の欠陥に対処していますが、Animate は 1 つの欠陥を抱えています。これらの脆弱性はすべてユーザーの操作を必要とし、リモートからトリガーすることはできません。

Cisco はいくつかの修正を漏れ出しましたが、どちらも重大度は中と評価されました。あるよ 問題 これは、Snort 侵入検知システムに依存する他のシスコ セキュリティ ソフトウェアにとって問題を意味します。

認定証もあるよ 検証の欠陥 macOS および RoomOS 用の ThousandEyes Endpoint Agent (Cisco の会議室機器用ソフトウェア) では、リモートの認証されていないユーザが自分自身を信頼できるホストであると偽って検証することが可能になります。 ThousandEyes Windows システムは今のところ安全です。

最後にSAP 解放された 今月、同社のシステムには 14 件のパッチが適用され、ABAP およびそれ以降の ABAP プラットフォーム バージョンの NetWeaver Application Server に重大な欠陥が 2 件、重大度が 1 件、重大度が 1 件、中レベルの欠陥が 3 件含まれています。 Windows、Java、および Netweaver 用の SAP GUI には、修正が必要な 3 つの中程度の重大度の欠陥もあります。

上記で多くの厄介な問題について言及しましたが、今月は私たちが報告したパッチの中で最も恐ろしい月ではありません。しかし、これで満足する理由はありません。悪意のある攻撃者は間違いなく、パッチ火曜日から水曜日エクスプロイトにカレンダーをひっくり返そうとしているはずです。 ®