WSUSにおける重大な脆弱性、攻撃で悪用される（CVE-2025-59287）

nosa

2025.10.27

2025年10月25〜27日：サイバーセキュリティ関連ニュース

Windows Server Update Serviceにおける深刻な脆弱性、攻撃で悪用される（CVE-2025-59287）

BleepingComputer – October 24, 2025

マイクロソフトは23日、Windows Server Update Service（WSUS）における脆弱性を包括的に解決するセキュリティ更新プログラムを緊急リリースした。その後、深刻度が「Critical」と評価されているこの脆弱性について、セキュリティ企業2社とオランダのサイバーセキュリティ当局が悪用が観測された旨を報告。米CISAもKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加し、連邦政府機関に11月14日までの対応を命じている。

CVE-2025-59287として追跡されているこの脆弱性は、PoCエクスプロイトコードがすでに公開済み。組織内のほかのWSUSサーバーの更新元として機能するWSUSサーバーの役割が有効になったWindowsサーバーにのみ影響を与え、権限やユーザー操作を必要としない低複雑性の攻撃で悪用可能と説明された。

このリモートコード実行（RCE）の欠陥を悪用すると、SYSTEM権限で有害なコードが実行できるようになるだけでなく、WSUSサーバー間でワーム化することも可能だという。影響を受けるバージョンとセキュリティ更新プログラムは以下の通り。

Windows Server 2025（KB5070881）
Windows Server バージョン23H2（KB5070879）
Windows Server 2022（KB5070884）
Windows Server 2019（KB5070883）
Windows Server 2016（KB5070882）
Windows Server 2012 R2（KB5070886）
Windows Server 2012（KB5070887）

マイクロソフトはまた、WSUSサーバーの役割を無効化して攻撃ベクターを排除するなどの回避策も公開している。

なお、米セキュリティ企業Huntressとオランダのサイバーセキュリティ企業Eye Securityおよび同国の国立サイバーセキュリティセンター（NCSC-NL）は、24日の時点でCVE-2025-59287の悪用を確認したと発表している。しかし、マイクロソフトはこの脆弱性を「悪用される可能性が高い」に分類しているものの、24日以降にアドバイザリを更新しておらず、攻撃に悪用されたことをまだ確認していない。

マイクロソフト、NTLMハッシュの漏洩対策としてダウンロードファイルのプレビューを無効化

SecurityWeek – October 24, 2025

マイクロソフトは先週、NTLMハッシュの漏洩に対する追加対策として、インターネットからダウンロードしたファイルについて、Windowsのファイルエクスプローラーのプレビュー機能を無効化すると発表した。

2025年10月の月例パッチの一部として展開されたこの変更は、ブラウザからダウンロードしたファイルやメールの添付ファイルがもたらす潜在的なリスクを知らせる「Mark of the Web（MotW）」属性が付いた全ファイルに適用されるとのこと。ファイルエクスプローラーのプレビューパネルやインターネットゾーンのファイル共有でファイルを閲覧する場合、信頼できるソースのファイルのみ開くよう警告が表示されるという。

この処置の目的は、安全でない可能性のあるファイルをプレビューした際にNTLMハッシュが漏洩することを防ぐ点にある。漏洩したハッシュ値に対して攻撃者がブルートフォース攻撃を行うと、ユーザーのパスワードを取得される、あるいはリレー攻撃を仕掛けられる危険性が生じるためだ。

「この変更により、外部パスを参照するHTMLタグ（<link>、<src>など）を含むファイルをユーザーがプレビューすると、NTLMハッシュの漏洩につながる可能性のある脆弱性が緩和される」とマイクロソフトは説明した。同社は対象となる脆弱性の詳細を明らかにしていないが、ファイルエクスプローラーのなりすまし問題とされるCVE-2025-59214の可能性が指摘されている。