Microsoft、野生で悪用されているWEBDAVゼロデイを含む67の脆弱性を修正

Microsoftは、Web Distributed Authoring and Versioning (WEBDAV)におけるゼロデイバグを含む67のセキュリティ欠陥を修正するパッチをリリースしました。このバグは野生での積極的な悪用が確認されています。

67の脆弱性のうち、11は重大と評価され、56は重要と評価されています。これには、26のリモートコード実行の欠陥、17の情報漏洩の欠陥、14の特権昇格の欠陥が含まれます。

これらのパッチは、先月のPatch Tuesdayアップデート以降、ChromiumベースのEdgeブラウザで同社が対処した13の欠陥に加えられたものです。

実際の攻撃で武器化された脆弱性は、WEBDAVにおけるリモートコード実行に関するもので、ユーザーをだまして特別に作成されたURLをクリックさせることで引き起こされます (CVE-2025-33053, CVSSスコア: 8.8)。

このバグの発見と報告には、Check Pointの研究者であるAlexandra GofmanとDavid Drikerが貢献しました。CVE-2025-33053は、WebDAV標準で公開された最初のゼロデイ脆弱性であることに注目する価値があります。

別の報告では、サイバーセキュリティ企業がCVE-2025-33053の悪用を、Windowsゼロデイを攻撃に利用する歴史を持つ脅威アクターとして知られるStealth Falcon（別名FruityArmor）に帰属させました。2023年9月、このハッキンググループは、カタールとサウジアラビアの組織を対象としたスパイ活動の一環として、Deadglyphと呼ばれるバックドアを使用していることが観察されました。

“攻撃は、アクターが制御するWebDAVサーバーからマルウェアを実行するためにゼロデイ脆弱性（CVE-2025-33053）を悪用した.urlファイルを使用しました”とCheck Pointは述べました。”CVE-2025-33053は、作業ディレクトリの操作を通じてリモートコード実行を可能にします。”

トルコの匿名の防衛企業に対する攻撃チェーンで観察されたように、脅威アクターはCVE-2025-33053を使用して、Mythicコマンド・アンド・コントロール（C2）フレームワーク用に構築されたカスタムインプラントであるHorus Agentを配信したと言われています。攻撃を開始するために使用された悪意のあるペイロードは、フィッシングメールのアーカイブされた添付ファイルとして送信されたと考えられています。

URLファイルは、Internet Explorerの正当な診断ユーティリティであるiediagcmd.exeを起動するために使用され、Horus Loaderと呼ばれる別のペイロードを起動し、デコイPDFドキュメントを提供し、Horus Agentを実行します。

“C++で書かれたこのインプラントは、既知のCベースのMythicエージェントとの顕著な重複を示さず、Mythic C2通信に関連する一般的なロジックの共通点を除いて、”とCheck Pointは述べました。”ローダーはペイロードを保護するためのいくつかの対策を実装していますが、脅威アクターはバックドア自体に追加の予防策を講じています。”

これには、分析努力を複雑にするための文字列暗号化や制御フローの平坦化などの技術の使用が含まれます。バックドアはその後、システム情報を収集し、ファイルやフォルダを列挙し、サーバーからファイルをダウンロードし、実行中のプロセスにシェルコードを注入し、プログラムを終了するタスクを取得するためにリモートサーバーに接続します。

Horus Agentは、2022年から2023年にかけてStealth Falconによって使用された、オープンソースの.NETエージェントであるApolloインプラントの進化形であると評価されています。

“Horusは、脅威グループのカスタムApolloインプラントのより高度なバージョンであり、C++で書き直され、改善され、リファクタリングされています,”とCheck Pointは述べました。

“Horusバージョンと同様に、Apolloバージョンは広範な被害者のフィンガープリンティング機能を導入し、サポートされるコマンドの数を制限しています。これにより、脅威アクターは感染したマシンのステルスな識別と次の段階のペイロード配信に集中し、エージェントのサイズを大幅に小さく（わずか120Kb）保つことができます。”

同社は、以下のような未公開のツールをいくつか利用している脅威アクターを観察したとも述べました –

• Credential Dumper、既に侵害されたドメインコントローラーをターゲットにしてActive Directoryおよびドメインコントローラーの資格情報関連ファイルを盗む
• 受動的バックドア、着信要求を待ち受けてシェルコードペイロードを実行する
• キーロガー、すべてのキーストロークを記録し、”C:/windows/temp/~TN%LogName%.tmp”にファイルとして書き込むカスタムC++ツール

特にキーロガーはC2メカニズムを欠いており、攻撃者にファイルを送信する別のコンポーネントと連携して動作する可能性があります。

“Stealth Falconは商業用コード難読化および保護ツールを使用し、異なるペイロードタイプに合わせてカスタム修正されたバージョンも使用しています,”とCheck Pointは述べました。”これにより、彼らのツールはリバースエンジニアリングが難しくなり、時間の経過とともに技術的な変更を追跡することが複雑になります。”

CVE-2025-33053の積極的な悪用は、米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁（CISA）に追加され、連邦民間執行機関（FCEB）に2025年7月1日までに修正を適用することが求められています。

“この欠陥が特に懸念されるのは、エンタープライズ環境でのリモートファイル共有やコラボレーションにおけるWebDAVの広範な使用です,”とAction1の社長兼共同創設者であるMike Waltersは述べました。”多くの組織が正当なビジネスニーズのためにWebDAVを有効にしていますが、それが引き起こすセキュリティリスクを完全に理解していないことがよくあります。”

Microsoftによって解決された最も深刻な脆弱性は、ネットワークを介して特権を昇格させることができるPower Automateの特権昇格の欠陥です (CVE-2025-47966, CVSSスコア: 9.8)。ただし、バグを軽減するために顧客のアクションは必要ありません。

注目すべき他の脆弱性には、Common Log File System Driverの特権昇格の欠陥 (CVE-2025-32713, CVSSスコア: 7.8)、Windows Netlogon (CVE-2025-33070, CVSSスコア: 8.1)、およびWindows SMB Client (CVE-2025-33073, CVSSスコア: 8.8)の特権昇格の欠陥、ならびにWindows KDC Proxy Serviceの重大な認証されていないRCE脆弱性 (CVE-2025-33071, CVSSスコア: 8.1)があります。

“過去数か月間、CLFSドライバーは複数のランサムウェア操作での悪用のために、脅威アクターとセキュリティ研究者の両方の一貫した 注目を集めています,”とImmersiveのリードサイバーセキュリティエンジニアであるBen McCarthyは述べました。

“これはヒープベースのバッファオーバーフローとして分類されるメモリ破損の脆弱性です。攻撃の複雑さは低いとされ、成功した悪用は攻撃者に特権を昇格させることを可能にします。”

Rapid7のリードソフトウェアエンジニアであるAdam Barnettは、CVE-2025-33071の悪用には暗号化の欠陥を悪用し、競合状態を勝ち取る必要があると述べました。

“悪いニュースは、Microsoftが悪用をより可能性が高いと考えていることであり、KDCプロキシがクライアントからドメインコントローラーへの直接のTCP接続を必要とせずに、信頼されていないネットワークからのKerberosリクエストが信頼された資産により簡単にアクセスできるようにするため、ここでのトレードオフは、KDCプロキシ自体が信頼されていないネットワークにさらされる可能性が非常に高いということです,”とBarnettは付け加えました。

最後に、Microsoftは、Binarlyによって発見されたセキュアブートバイパスバグ (CVE-2025-3052, CVSSスコア: 6.7)を修正するためのパッチも展開しました。

“MicrosoftのサードパーティUEFI証明書で署名されたUEFIアプリケーションに脆弱性が存在し、攻撃者がUEFIセキュアブートをバイパスすることを可能にします,”とRedmondは警告で述べました。”この脆弱性を悪用した攻撃者は、セキュアブートをバイパスすることができます。”

CERT Coordination Center (CERT/CC)は、火曜日にリリースされた勧告で、この脆弱性はDT ResearchのUnified Extensible Firmware Interface (UEFI)アプリケーションDTBiosおよびBiosFlashShellに根ざしており、特別に作成されたNVRAM変数を使用してセキュアブートをバイパスすることを可能にすると述べました。

“この脆弱性は、セキュアブート検証のために使用されるグローバルセキュリティ2アーキテクチャプロトコルを含む重要なファームウェア構造を変更できる任意の書き込みプリミティブを可能にするランタイムNVRAM変数の不適切な処理に起因します,”とCERT/CCは述べました。

“影響を受けるアプリケーションがMicrosoft UEFI証明書機関によって署名されているため、この脆弱性はUEFI準拠のシステムで悪用される可能性があり、ブートプロセス中に署名されていないコードを実行することができます。”

この脆弱性の成功した悪用は、オペレーティングシステムがロードされる前に署名されていないまたは悪意のあるコードの実行を許可し、再起動後も生き残る持続的なマルウェアをドロップし、さらにはセキュリティソフトウェアを無効にする可能性があります。

しかし、Microsoftは、Insyde H2O UEFIアプリケーションに存在する別のセキュアブートバイパス脆弱性であるCVE-2025-4275（別名Hydroph0bia）の影響を受けません。この脆弱性は、保護されていないNVRAM変数（”SecureFlashCertData”）を通じてデジタル証明書の注入を可能にし、ファームウェアレベルでの任意のコード実行を引き起こします。

“この問題は、信頼検証チェーン内のデジタル証明書の信頼されたストレージとして使用されるNVRAM変数の安全でない使用に起因します,”とCERT/CCは述べました。”攻撃者はこの変数に自分の証明書を保存し、その後、UEFI環境内での早期ブートプロセス中に任意のファームウェア（注入された証明書によって署名された）を実行することができます。”