マイクロソフトは昨日、SQL Serverにおける1件の公開済みゼロデイ脆弱性と、100件以上の追加CVEを修正しました。これにより、2025年で最も大規模なパッチチューズデーの一つとなりました。
今年は、テクノロジー大手が対応したゼロデイの数が注目されていますが、今回のようなケースでは、ゼロデイとは「積極的に悪用されている」ではなく「公開されている」脆弱性を指します。
問題となった脆弱性CVE-2025-53779は、Windows Kerberosにおける権限昇格(EoP)の脆弱性で、認証済みの攻撃者がドメイン管理者権限を取得できる可能性があります。
これは、従来のサービスアカウントからマシンアカウントへの移行を可能にするために設計された、委任されたマネージドサービスアカウント(dMSA)に関連しています。
「マイクロソフトの動機は申し分ありません。dMSAはサービスアカウントの認証情報の自動ローテーションをサポートしており、Kerberoastingによる認証情報の収集を防ぐために特別に設計されています。実際、CISAはKerberoastingを、組織ネットワーク内で権限を昇格させ横移動するための最も効率的な方法の一つと説明しています」とRapid7のリードソフトウェアエンジニア、アダム・バーネット氏は説明しています。
「ここでの朗報は、CVE-2025-53779の悪用を成功させるには、攻撃者が十分に保護されているはずのdMSAの2つの属性を事前に制御している必要があるということです。msds-groupMSAMembership(マネージドサービスアカウントの認証情報を使用できるユーザーを決定する属性)と、msds-ManagedAccountPrecededByLink(dMSAが代理で動作できるユーザーのリストを含む属性)です。」
パッチチューズデーの詳細:マイクロソフト、3月に7件のゼロデイを修正
このゼロデイは、今回のパッチチューズデーで「中程度」と分類された2件の脆弱性のうちの1つです。それ以外にも「重大」とされたものが13件あり、そのうち9件はリモートコード実行(RCE)の脆弱性、3件が情報漏洩バグ、1件がEoPの脆弱性です。
9件は、マイクロソフトのエクスプロイト可能性インデックスで「悪用される可能性が高い」カテゴリに該当します。
「これは、攻撃者がこれらの脆弱性に対して信頼性の高いエクスプロイトを開発できる可能性があり、さらに、これらが過去に攻撃者が標的にしてきた種類の脆弱性であることを意味します」とRed Canaryのプリンシパルリサーチャー、ブライアン・ドノヒュー氏は説明しています。
彼はシステム管理者に、以下のパッチ適用を優先するよう呼びかけています:
- CVE-2025-53778:Windows NTLMにおける重大な不適切な認証のバグで、認証済みの攻撃者がネットワーク越しに権限を昇格できる
- CVE-2025-50177:Windows Message Queuingにおける重大なUse-After-Freeバグで、未認証の攻撃者がネットワーク越しにコードを実行できる
- CVE-2025-53132:Windows Win32K – GRFXにおける重要度の高い競合状態のバグで、認証済みの攻撃者がネットワーク越しに権限を昇格できる可能性がある
7月のパッチチューズデーを除けば、今年マイクロソフトが100件以上のCVEに対応した月は他にありません。
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-fixes-100-cves-august/