-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
マイクロソフト、2025年3月の月例パッチで悪用されるゼロデイ7件を修正:CVE-2025-24983、CVE-2025-24984、CVE-2025-24985ほか
BleepingComputer – March 11, 2025
マイクロソフトは2025年3月の月例セキュリティ更新プログラムにおいて、攻撃で悪用されているゼロデイ6件を含む計57件の脆弱性に対処。これには、深刻度が「緊急(Critical)」に分類されるリモートコード実行の脆弱性が6件含まれる。
<攻撃での悪用が報告されているゼロデイ>
今回修正されたうち、実際の攻撃で悪用されているゼロデイは以下の6件。
- CVE-2025-24983:Windows Win32カーネルサブシステムにおける特権昇格の脆弱性。権限を持つローカルの攻撃者が競合状態を引き起こしたのちにこの脆弱性を悪用すると、デバイス上でSYSTEM権限を取得することが可能になる恐れがある。どのような攻撃で利用されているのかは明かされていないが、発見者であるESETから、今後詳しいレポートがリリースされる可能性がある。CVSS3.1スコアは7.0、深刻度は「重要(Important)」。
[Update (2025-03-13):ESETによれば、CVE-2025-24983のゼロデイエクスプロイトが実際の攻撃で初めて観測されたのは2023年3月とされる。この際、同エクスプロイトはバックドアマルウェア「PipeMagic」を通じてデプロイされていたという。PipeMagicは2022年に発見されたマルウェアで、データ窃取やリモートアクセスを行う性能を持つ。なお、この攻撃で使われたエクスプロイトは、マイクロソフトによるサポートが終了している古いWindowsバージョン(Windows Server 2012 R2 、Windows 8.1)のみを標的とするものだったが、脆弱性CVE-2025-24983自体は、より新しいWindowsバージョン(今なおサポート対象のWindows Server 2016やWindows 10を含む)にも影響を与えるとのこと。(情報源:BleepingComputer “Microsoft patches Windows Kernel zero-day exploited since 2023“)
- CVE-2025-24984:Windows NTFSにおける情報開示の脆弱性。権限を持たない攻撃者は、ターゲットデバイスに物理的にアクセスできる場合に、有害なUSBドライブを当該デバイスに差し込むことでこの脆弱性を悪用することができる。悪用が成功すると、ヒープメモリの部分的な読み取りおよび情報の窃取を行えるようになるとされる。CVSS3.1スコアは4.6、深刻度は「重要(Important)」。
- CVE-2025-24985:Windows Fast FATファイルシステムドライバにおけるリモートコード実行の脆弱性。整数オーバーフローまたはラップアラウンドに起因する問題で、権限を持たない攻撃者はこれを悪用するとローカルでコードを実行できるようになる。攻撃者は、脆弱なシステム上のローカルユーザーを騙して特別に細工されたVHDをマウントさせることで、この脆弱性をトリガー可能。どのような攻撃で悪用されているのかは明かされていないものの、この種の悪性VHD画像は過去に、フィッシング攻撃や海賊版ソフトウェアサイトを通じて配布されていたことがあることから、CVE-2025-24985も同様のシナリオで使われている可能性が考えられるとのこと。CVSS3.1スコアは7.8、深刻度は「重要(Important)」。
- CVE-2025-24991:Windows NTFSにおける情報開示の脆弱性。境界外読み取りの問題に起因するもので、権限を持つ攻撃者に悪用された場合、ヒープメモリのごく一部を読み取られて情報を盗み出される恐れがあるとされる。攻撃者は、脆弱なシステム上のローカルユーザーを騙して特別に細工されたVHDをマウントさせることで、この脆弱性をトリガー可能。CVSS3.1スコアは5.5、深刻度は「重要(Important)」。
- CVE-2025-24993:Windows NTFSにおけるリモートコード実行の脆弱性。ヒープベースのバッファオーバーフローに起因するもので、権限を持たない攻撃者はこれを悪用することによりローカルでコードを実行できるようになる可能性がある。攻撃者は、脆弱なシステム上のローカルユーザーを騙して特別に細工されたVHDをマウントさせることで、この脆弱性をトリガー可能。CVSS3.1スコアは7.8、深刻度は「重要(Important)」。
- CVE-2025-26633:Microsoft 管理コンソールにおけるセキュリティ機能バイパスの脆弱性。不適切な無害化処理に起因する問題で、権限を持たない攻撃者はこれを悪用してローカルでセキュリティ機能をバイパスできる可能性がある。悪用を成功させるためにはターゲット環境における事前準備のために追加のアクションが必要となることから、悪用の複雑度は高いとの評価。攻撃者は例えば、Eメールやインスタントメッセージで攻撃を行う場合、ターゲットユーザーに対し、エクスプロイト目的で特別に細工されたファイルを送り付けることになる。ただ、ユーザーに強制的にこのファイルを閲覧させることは不可能なため、攻撃者にはユーザーを誘導/納得させてファイルを開かせる必要がある。CVSS3.1スコアは7.0、深刻度は「重要(Important)」。
<緊急(Critical)評価の脆弱性>
このほか、以下の6件は最大深刻度が「緊急(Critical)」と評価されている。
- CVE-2025-24057:Microsoft Officeにおけるリモートコード実行の脆弱性。
- CVE-2025-26645:Microsoft リモート デスクトップ クライアントにおけるリモートコード実行の脆弱性。
- CVE-2025-24064:Windowsドメインネームサービスにおけるリモートコード実行の脆弱性。
- CVE-2025-24035:Windows リモート デスクトップ サービスにおけるリモートコード実行の脆弱性。
- CVE-2025-24045:Windows リモート デスクトップ サービスにおけるリモートコード実行の脆弱性。
- CVE-2025-24084:Linux(WSL 2)用Windows サブシステム カーネルにおけるリモートコード実行の脆弱性。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
関連投稿
米CISAが警告:SolarWindsの重大なRCEバグが攻撃で悪用される(CVE-2024-28986)
19.08.2024
稼働中のMicrosoft SQL Server、約20%がサポート終了済みのバージョン
18.06.2024
中国のハッカーグループがロシアの政府機関やIT企業を攻撃
13.08.2024
マイクロソフト月例パッチ:悪用確認のゼロデイ2件など脆弱性142件を修正(CVE-2024-38080、CVE-2024-38112他)
10.07.2024
マイクロソフト月例パッチ:悪用されているゼロデイ含む脆弱性71件に対処(CVE-2024-49138ほか)
11.12.2024
