ランサムウェア攻撃で悪用されたWindows CLFSのゼロデイなどが修正される：マイクロソフト月例パッチ（CVE-2025-29824ほか）

ランサムウェア攻撃で悪用されたWindows CLFSのゼロデイなどが修正される：マイクロソフト月例パッチ（CVE-2025-29824ほか）

Help Net Security – April 8, 2025

マイクロソフトは2025年4月の月例セキュリティ更新プログラムにおいて、120件超の脆弱性に対処。これには、ランサムウェアグループRansomEXXによる攻撃で悪用されているとみられるゼロデイCVE-2025-29824も含まれる。

RansomEXXによるCVE-2025-29824の悪用

CVE-2025-29824は、共通ログファイル システム（CLFS）ドライバーにおける特権昇格の脆弱性。攻撃者はこれを悪用することで、その時までに侵害されていたWindowsマシン上で自らの権限をSYSTEMへと昇格させることができるようになる。

マイクロソフトによれば、RansomEXXランサムウェア（Storm-2460）が少数の攻撃においてこの脆弱性を悪用していたという。標的となった組織には、米国内のIT部門と不動産部門の組織、ベネズエラの金融部門、スペインのソフトウェア企業、サウジアラビアの小売部門が含まれるとされる。

攻撃において、RansomEXXはまず侵害されたシステムにバックドア「PipeMagic」をインストール。これを使って、CVE-2025-29824のエクスプロイトとランサムウェアペイロード、そしてランサムノート（!_READ_ME_REXX2_!.txt）をデプロイしていたという。なお、PipeMagicは2022年に発見されたマルウェアで、機微なデータの窃取、感染デバイスへのフルリモートアクセスの提供、有害ペイロードのデプロイといった性能を持つ。2023年以降は、別のWindowsのゼロデイ脆弱性CVE-2025-24983のエクスプロイトをデプロイするために使われていたことが報告されている。

2025年4月の月例パッチ：その他の注目される脆弱性

今回の月例パッチでは、「Critical（緊急）」と評価されるリモートコード実行の脆弱性が7件修正されているが、この中でも特に、CVE-2025-26663とCVE-2025-26670が注目に値するという。いずれもWindows LDAPにおけるuser-after-freeの脆弱性で、権限を持たない攻撃者によるコード実行を可能にし得るとされる。マイクロソフトはこれらの脆弱性が悪用される可能性を「より高い」と評価している。

また、同じくRCEを引き起こし得るリモート デスクトップ サービス（RDS）におけるCritical（緊急）評価の脆弱性CVE-2025-27480およびCVE-2025-27482は、ユーザー側の操作を必要とすることなく悪用可能。これらも悪用される可能性が「より高い」とされている。

このほかにも、以下の脆弱性が悪用される可能性が「より高い」と評価されている。

• CVE-2025-27472：Mark of the Webバイパスの脆弱性。深刻度は「Important（重要）」
• CVE-2025-27727：Windows インストーラーにおける特権昇格の脆弱性。深刻度は「Important（重要）」
• CVE-2025-29809：Kerberosバイパスの脆弱性。深刻度は「Important（重要）」

Eブック無料配布中：Codebook 2024 ~サイバーセキュリティ分析レポート~

Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらのバナーから：

目次

第1章：脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法

第2章：世界情勢や地政学がサイバーセキュリティにもたらす影響

第3章：スティーラーの急成長と認証情報の漏洩が生むリスク

第4章：サプライチェーンリスク

第5章：2024 年に組織を脅かした脆弱性