マイクロソフト、2025年6月の月例パッチで悪用確認のゼロデイ含む脆弱性66件に対処（CVE-2025-33053ほか）

佐々山 Tacos

2025.06.11

マイクロソフト、2025年6月の月例パッチで悪用確認のゼロデイ含む脆弱性66件に対処（CVE-2025-33053ほか）

SecurityWeek – June 10, 2025

マイクロソフトが2025年6月の月例セキュリティ更新プログラムをリリースし、66件の脆弱性に対処。これには、実際の攻撃での悪用が観測されているWeBDAVのゼロデイCVE-2025-33053が含まれるという。

CVE-2025-33053はWeBDAV（Web Distributed Authoring and Versioning）におけるリモートコード実行の脆弱性で、ターゲットが改ざんされたWebサイトをクリックした場合にブラウザベースのドライブバイダウンロード攻撃の実行を許すもの。マイクロソフトはアドバイザリにおいて、「WebDAVにおけるファイル名またはパスの外部制御に関する脆弱性により、権限を持たない攻撃者がネットワークを介してコードを実行できるようになる」と説明。悪用が検出されたことも記したが、どの脅威アクターがこの脆弱性を悪用しているのかや、悪用が広範に及ぶのかなどについては明かさなかった。

一方でCVE-2025-33053の発見者・報告者であるCheck Point Software社は個別のアドバイザリにおいて、同脆弱性の悪用を「Stealth Falcon」というAPTグループによるものだろうと評価。過去にアラブ首長国連邦（UAE）との結び付きが指摘されていたこのグループは、スピアフィッシングの手法でトルコ、カタール、エジプト、イエメンの組織を標的にしているという。

6月の月例パッチではこのほかにも、リモートコード実行のリスクをもたらす「Critical（緊急）」評価の脆弱性が少なくとも9件修正されている。

CVE-2025-47172：Microsoft SharePoint ServerにおけるRCEの脆弱性。
CVE-2025-47162：Microsoft OfficeにおけるRCEの脆弱性。
CVE-2025-47164：Microsoft OfficeにおけるRCEの脆弱性。
CVE-2025-47167：Microsoft OfficeにおけるRCEの脆弱性。
CVE-2025-47953：Microsoft OfficeにおけるRCEの脆弱性。
CVE-2025-33070：Windows Netlogonにおける特権昇格の脆弱性。
CVE-2025-33071：Windows KDCプロキシサービス（KPSSVC）におけるRCEの脆弱性。
CVE-2025-32710：Windows ServerリモートデスクトップサービスにおけるRCEの脆弱性。
CVE-2025-29828：Windows SchannelにおけるRCEの脆弱性。

上記に加え、注目に値するのがCVE-2025-3052。これは、広範に信頼されているマイクロソフトのサードパーティUEFI証明書によって署名されたUEFIモジュールの脆弱性で、セキュアブートのバイパスを可能にし得る。米国CERT/CC経由でこのInsydeH2Oの脆弱性を報告したBinarlyによれば、影響を受けるのはマイクロソフトのデジタル証明書「UEFI CA 2011」を信頼するあらゆるマシン。Linuxの「shim」ローダーも同証明書により署名されることから、大半の最新ラップトップ、サーバー、ワークステーションに影響が及ぶ恐れがあるとされる。

同社は、脆弱なモジュールは遅くとも2022年後半から世に出回っていた可能性があり、2024年11月にVirusTotalへアップロードされていたと報告している。その後マイクロソフトはほかにも13件のモジュールがこの脆弱性を受けると判断し、6月10日の月例パッチで配布されたセキュアブートDBX更新プログラムに14件の新たなハッシュを追加したとされる。Binarlyとマイクロソフトは、このDBXファイルを直ちにインストールするようユーザーに促している。

【無料配布中！】ディープ＆ダークウェブ関連レポート

弊社が作成したレポート『ディープ＆ダークウェブにおけるSNSアカウント売買とディープフェイク』を無料配布中です！

ネット上の匿名性を悪用した不正や犯罪が日本においても大きな脅威となる中、弊社アナリストが過去 1 年間のディープ & ダークウェブ上の投稿データを調査。「SNS アカウント売買」「ディープフェイク」という切り口から、ネット上の匿名性を悪用する脅威アクターらの実態をレポートにまとめました。

無料ダウンロードはこちらのバナーから：