8月のパッチチューズデー：Windows Server 2025の認証ホールに修正パッチ

5月に初めて公開された、Kerberos認証システムを実行するWindowsサーバーの重大なゼロデイ脆弱性が、今回Microsoftによって修正されました。しかし、攻撃者が利用可能なエクスプロイトも存在するため、管理者は優先的に対応する必要があります。この修正は、Microsoftの8月のパッチチューズデーで修正された107件の脆弱性の1つです。

Microsoftは、Windows Server 2025の脆弱性（CVE-2025-53779）について「悪用の可能性は低い」と評価しています。なぜなら、攻撃者はまず管理者の特権アカウントを侵害する必要があるからです。しかし、Action1のアナリストは、「実際に機能するエクスプロイトコードが存在し、認証の根幹に影響を与えるため、重大なリスクとなります。高い特権が必要という要件は一見安全策に思えますが、多くの組織にはこれらの特権を持つアカウントが存在します。このようなアカウントが侵害されると、ドメイン全体の侵害までの道のりが大幅に短縮されます」と述べています。

「組織はこの脆弱性に緊急性を持って対応すべきです」とAction1は付け加えています。「この脆弱性は、高価値な環境を標的とした高度な攻撃チェーンで利用される可能性があります。」

この脆弱性は、ドメイン管理サービスアカウント（dMSA）に関連するパス入力の検証不備による相対パストラバーサル脆弱性です。問題は、Windows KerberosがdMSAの特定属性、特にmsds-ManagedAccountPrecededByLink属性を処理する方法にあります。Action1によると、攻撃者がこれらのパスを操作することで、高い特権を持つ攻撃者がディレクトリ構造を横断し、意図されたよりも高い特権を持つユーザーを偽装できてしまいます。この脆弱性は、Active Directory環境でのサービスアカウント管理においてKerberosが採用している信頼された委任モデルを根本から脅かします。

影響を受けるシステムには、Active Directoryドメインサービスを実行するWindows Server 2025、Kerberos認証を管理するドメインコントローラー、dMSAを使用する環境、およびKerberosが有効なすべてのサポート対象Windows Serverバージョンが含まれます。

特定のdMSA属性を変更するには、攻撃者はmsds-groupMSAMembership（dMSAの使用）とmsds-ManagedAccountPrecededByLink（dMSAが偽装できるユーザーの指定）が必要です。Action1によれば、リスクの高い環境には、複雑なActive Directory構成を持つ大規模企業環境や、サービスアカウント管理にdMSAを多用している組織が含まれます。

5月に明らかになった際、この脆弱性はBadSuccessorと名付けられました。Tenableのシニアスタッフリサーチエンジニア、Satnam Narang氏は「パッチ適用は極めて重要」と述べています。ただし、彼はメールで「我々の分析では、公開時点で前提条件を満たしていたADドメインはわずか0.7%であり、直ちに大きな影響が出るわけではありません。BadSuccessorを悪用するには、少なくとも1台のドメインコントローラーがWindows Server 2025で動作している必要があります」と付け加えています。

AI関連の脆弱性

Tyler Reguly氏（FortraのセキュリティR&Dアソシエイトディレクター）は「今月みんなが話題にするのは、パッチチューズデーにAI関連の脆弱性が登場したことだ」と述べています。彼が指摘しているのは、Azure OpenAIの特権昇格脆弱性（CVE-2025-53767）と、GitHub CopilotおよびVisual Studioの脆弱性（CVE-2025-53773、Visual Studio 2022のパッチを含む）です。

最初の脆弱性については、クラウドプラットフォーム上のためMicrosoftがすでに対応しており、ユーザー側での対応は不要とのことです。「しかし、この種の問題は、組織でAIを利用する際に再考を促すものかもしれません」と彼はメールで述べています。

2つ目の脆弱性については「より興味深いもので、詳細情報の公開が待たれますが、コマンドインジェクションであり、深刻に受け止めるべきです」と述べています。

「今月はAI関連の脆弱性（GitHub CopilotとAzure OpenAI）が複数あり、AI技術がまだ新しく、私たちがその扱い方を模索している段階であることを改めて思い出させてくれます」と彼は続けます。「組織はAIをどこでどのように利用しているかを把握することが重要です。それだけでなく、利用しているサービスや、それらのサービスが脆弱性やセキュリティ問題にどのように対応しているかも知っておく必要があります。AIベースのサービスを検討する際、データの所在や保持、所有権には関心が集まりますが、システムのセキュリティ確保やセキュリティポリシーについては十分に問われていないことが多いのです。もしまだ確認していないのであれば、今こそ始めるべきです。」

「CSOは、自身のリスク評価と対応方法についても考えるべきです」とReguly氏は述べています。脆弱性の中には、CVSSスコアでクリティカルとされていても、Microsoftの評価では重要止まりのものもあります。現時点で悪用は確認されていなくても、もし悪用された場合、組織に甚大な被害をもたらす脆弱性も存在します。「将来のリスクと現在のリスク、どちらを重視していますか？どの評価を信頼しますか？」と彼は問いかけます。「リスクを判断・測定する独自の方法論がない場合は、今日からでも作り始めるべきです。」

Officeの脆弱性5件

CISOは、Microsoft Officeの脆弱性群（CVE-2025-53740、CVE-2025-53731、CVE-2025-53784、CVE-2025-53733）にも細心の注意を払うべきだと、Mike Walters氏（Action1社長）は述べています。これらは多くの企業で標準となっている一元管理の生産性ツールに影響を及ぼします。これらの脆弱性のプレビューパネル攻撃ベクターは、ユーザーの操作がほとんど不要なため、セキュリティ意識向上トレーニングの効果を回避する恐れがあり、特に懸念されます。

Walters氏はまた、Windows Graphicsの脆弱性（CVE-2025-50165、CVE-2025-53766）も優先的に対処すべきだと述べています。これらはネットワーク攻撃ベクターで特権不要、かつユーザー操作も不要なため、初期侵害の入り口となり得るからです。これが組織全体に広範な影響を及ぼす可能性があると、彼はCSO宛てのメールで述べています。

文書やグラフィックスの脆弱性は、文書交換を含む主要なビジネスワークフローに影響するため、パッチ適用期間中は一時的な業務プロセス変更が必要になる場合もあると指摘しています。パッチ適用中や適用後にプレビューパネル機能が変更または一時的に無効化される可能性がある場合は、エンドユーザーにもその旨を周知すべきだと述べています。

「これらの脆弱性は現時点で実際に悪用された報告はありませんが、いくつかの問題はクリティカルな性質や高いCVSSスコアを持つため、企業環境では適切な緊急性をもって対応すべきです」とWalters氏は述べています。

Hyper-Vの脆弱性

Ben McCarthy氏（Immersiveのリードサイバーセキュリティエンジニア）は、Microsoft Hyper-Vを運用している管理者は、ハイパーバイザーの特権昇格脆弱性（CVE-2025-50167）のパッチ適用に注意を払うべきだと述べています。「現在、Hyper-Vは単なる仮想マシン（VM）実行ツールではなく、OS全体を支える基盤的なType 1ハイパーバイザーです」と彼はメールで述べています。「このアーキテクチャは、Virtualization-Based Security（VBS）、メモリ整合性、Credential Guardなどの重要なセキュリティ機能を、分離されたハードウェア強制境界で実現しています。この脆弱性は、これらの仕組みに影響を与え、攻撃者がWindows環境内で低レベルのアクセス権を持っている場合、ハイパーバイザーのセキュリティ保証を完全に回避して、システム権限でコードを実行できる『VMエスケープ』を許してしまう可能性があります。」

攻撃の複雑さが高いことは障壁となりますが、Microsoftが「悪用の可能性が高い」と評価していることから、熟練した攻撃者にとっては実現可能な欠陥であることが示唆されます。そのため、仮想化機能を利用しているすべてのシステム（現代のWindows OSのほぼすべて）で、パッチ適用は最優先事項となります。

SAP向けの重大なパッチ3件

最後に、SAPは一連のパッチを公開し、その中にはCVSSスコア9.9の重大な脆弱性が3件含まれています。

SAP S/4HANAのコードインジェクション脆弱性は、ユーザー権限を持つ攻撃者がリモートファンクションコール（RFC）経由で公開されたファンクションモジュールの脆弱性を悪用できるものです。この欠陥により、任意のABAPコードをシステムに注入し、重要な認可チェックを回避できるとSAPは説明しています。「この脆弱性は実質的にバックドアとして機能し、システムの完全な侵害リスクを生み出し、機密性・完全性・可用性を損なう恐れがあります」と同社は述べています。

SAPはまた、S/4HANA（プライベートクラウドまたはオンプレミス）の別のコードインジェクション脆弱性に対するアップデートも発表し、さらにSAP Landscape Transformationのコードインジェクション脆弱性についても警告しています。