出典:Efkaysim / Shutterstock
Microsoftの2025年8月のパッチアップデート(2か月連続で実際に悪用されているバグがないアップデート)において、セキュリティチームが最も懸念しているのは、攻撃者が初期侵入からシステム全体の乗っ取りに至ることを可能にする複数の特権昇格(EoP)脆弱性です。
この8月のアップデートには、111件の固有のCVE(共通脆弱性識別子)に対する修正が含まれており、そのうち最大44件(39%)が、攻撃者が侵入後にシステム上で管理者権限へ特権を昇格できる問題です。
多種多様な脆弱性
その中には、Azure OpenAIにおける最大深刻度の脆弱性CVE-2025-53767(CVSSスコア: 10.00)が含まれていますが、これはMicrosoftが既にクラウドサービス側で完全に対策済みのため、組織側で対応する必要はありません。もう一つは、CVE-2025-53779(CVSSスコア: 7.2)で、Windows Kerberosの特権昇格脆弱性として公開されている「BadSuccessor」です。これはAkamaiが5月にゼロデイとして公開しました。
今回のパッチアップデートでは特権昇格の脆弱性が目立ちましたが、優先的に対処すべき問題はそれだけではありません。8月のリリースには、重大なものも多い34件のリモートコード実行(RCE)脆弱性や、機密データ漏洩につながる16件の情報漏洩脆弱性への修正も含まれています。特筆すべきは、MicrosoftのAI技術に関する2件の脆弱性、前述のCVE-2025-53767と、CVE-2025-53773(GitHub CopilotおよびVisual Studio)が含まれていることです。
Microsoftは、111件の新規CVEのうち13件を「重大(Critical)」と分類し、残りの大多数を「重要(Important)」としています。
セキュリティ研究者が優先的な対応が必要と指摘する特権昇格バグには、Windows Hyper-VのCVE-2025-53155(CVSSスコア: 7.8)や、Microsoft SQL Serverの4件(いずれもCVSSスコア8.8):CVE-2025-24999、CVE-2025-49759、CVE-2025-47954、およびCVE-2025-53727が挙げられます。
SQL Serverの脆弱性のうち2件は未検証パラメータによるSQLインジェクションを可能にし、他の2件は特別に細工されたデータベース名によるインジェクションを許すと、AutomoxのシニアセキュリティエンジニアであるMat Lee氏はコメントしています。「ここでの脅威は明白です。未検証の入力が高権限でコマンドを実行でき、データ漏洩やサーバーの完全な乗っ取りにつながります。」これらの脆弱性への最善の対策は、直ちにパッチを適用することです。パッチ適用ができない場合は、Webアプリケーションファイアウォールやクエリ検証レイヤーの導入、管理者権限の制限やセグメンテーションによるSQL環境の強化を検討すべきだとLee氏は助言しています。
今月のアップデート分析で、TenableのシニアスタッフリサーチャーSatnam Narang氏は、組織はCVE-2025-53779(BadSuccessor脆弱性)に注意を払うべきだと推奨していますが、攻撃者がこれを悪用できる可能性は低いとしています。「BadSuccessorのパッチ適用は重要ですが、私たちの分析では、公開時点で[Active Directory]ドメインの0.7%しか前提条件を満たしていませんでした」と述べています。「BadSuccessorを悪用するには、攻撃者はWindows Server 2025を実行するドメインコントローラーを少なくとも1台持つドメインが必要です。」
優先度の高いRCEの中にSharePointの脆弱性
6月にMicrosoft SharePointで発覚したいわゆるToolShell脆弱性による騒動の後、8月のセキュリティアップデートで新たなSharePointのRCE脆弱性が懸念されています。ToolShell脆弱性と同様に、新たなバグCVE-2025-49712(CVSSスコア: 8.8)もリモートコード実行を可能にします。この脆弱性は認証済みの攻撃者のみが悪用できますが(ToolSetとは異なる点)、それでも優先的な対応が必要だとQualysのセキュリティリサーチシニアマネージャー、Saeed Abbasi氏はDark Readingに語っています。「このRCEは認証が必要ですが、既知の認証バイパスと組み合わさると非常に危険です」とAbbasi氏は述べます。「攻撃者がこれを以前の脆弱性と連鎖させれば、サーバーの完全な乗っ取りやデータ流出が可能になります。」組織は全てのSharePointインスタンスを優先的にパッチ適用し、キーをローテーションし、システムをインターネットに公開しないよう推奨しています。
今月パッチが適用されたリモート悪用可能なCVEのうち2件は、CVSSスコア9.8というほぼ最大の深刻度を持っています:CVE-2025-50165(Windows Graphics ComponentのRCE脆弱性)と、CVE-2025-53766(MicrosoftのGDI+グラフィックスプログラミングインターフェース)です。どちらもユーザー操作なしで攻撃者が悪用可能です。「今月はこの2件を特に優先すべきです」とFortraのセキュリティR&Dアソシエイトディレクター、Tyler Reguly氏はメール声明で述べています。「『悪用されにくい』と評価されていますが、もしエクスプロイトが開発されれば重大な問題になります。」
同様の声明で、Action1のCEO兼共同創業者Alex Vovk氏は、 特にCVE-2025-50165は、OSの画像処理パイプラインのコアレベルに存在するため、極めて高リスクな脆弱性だと述べています。「Microsoftによれば、悪意のあるJPEG画像をデコードするだけで自動的に悪用される可能性があり、これはOfficeやサードパーティファイルに埋め込まれていることが多い」とVovk氏は述べています。「攻撃者は、メール、ウェブサイト、ネットワーク共有、ソーシャルメディア経由で細工されたJPEGを配布し、影響を受けるプロセスの権限でコードを実行できる可能性があります。」
8月のアップデートに含まれる他の2件の重大な脆弱性は、Microsoftのクラウドサービスに関するもので、ユーザー側での対応は不要です。その一つがCVE-2025-53792(CVSSスコア9.1、Azure Portalの特権昇格)、もう一つがCVE-2025-49707(CVSSスコア: 7.9、Azure Virtual Machinesのなりすましを許す脆弱性)です。