EoPの脆弱性が再びMicrosoftのパッチデーを主導

出典：Mumemories / Shutterstock

2か月連続で、特権昇格（EoP）のバグがMicrosoftの月例セキュリティアップデートにおいて他の脆弱性カテゴリを上回りました。

同社の2025年9月のセキュリティアップデートでは、製品ポートフォリオ全体で81件の固有CVEに対する修正が含まれており、そのうち最多の38件の脆弱性が、攻撃者がシステムへの初期アクセスを得た後に特権を昇格できるものでした。リモートコード実行（RCE）のバグはしばしば注目を集めますが、EoPのバグも同様に大きな脅威であり、攻撃者がシステムやネットワークへの初期侵入を完全な制御に変えることを可能にします。

Microsoftの2025年9月アップデートに含まれる残りの脆弱性は、通常通りのRCE脆弱性、情報漏洩問題、サービス拒否（DoS）攻撃の脅威が含まれていました。

今月も8月と同様、Microsoftは公開されたCVEの中に実際に悪用された脆弱性はなかったと報告しました。しかし、以前に公開された脆弱性（EoP問題）が1件含まれており、同社は今月の8つのCVEの中で攻撃者に悪用される可能性が高いものと評価しています。

Microsoftは、これらのバグのうち11件を重大な深刻度と評価し、その他の多くを重要または中程度の深刻度（CVSSスコア10点満点）としました。ただし、セキュリティ研究者たちは、いくつかのバグがもたらすリスクの深刻度や、セキュリティチームが今すぐ優先すべきものについて独自の見解を持っています。

EoPバグの行進

即時対応が必要なバグの中には、CVE-2025-55234（CVSSスコア：8.8）があり、これはWindows Server Message Block（SMB）の公開済み（したがってゼロデイ）のEoPバグです。攻撃者はこれを悪用して正規ユーザーの権限を取得できます。Microsoftによれば、この脆弱性は攻撃者にSMBリレー攻撃を実行し、特権を昇格させる手段を与えます。

やや興味深いことに、MicrosoftはCVEを公開した理由について「顧客が環境を評価し、SMBサーバーの強化策を導入する前に、デバイスやソフトウェアの非互換性の問題を特定できるよう、監査機能を提供するため」と述べています。この説明に少なくとも1人のセキュリティ研究者は困惑したようです。

「CVEは脆弱性が存在することを意味します」とFortraのセキュリティR&Dアソシエイトディレクター、Tyler Reguly氏はDark Readingへのコメントで述べています。今回の場合、Microsoftは新しい設定や監査機能が利用可能であることを示すためにCVE識別子を使っているようです。「これはCVEの意味を大きく拡大するもので、今後これが常態化すれば、毎年発行されるCVEの数がさらに大幅に増加するでしょう」と彼は述べ、MITREにCVEの却下を求めました。Microsoftはこの問題についてすぐには明確な説明を出しませんでした。

セキュリティ研究者が高優先度で対応すべきだと指摘したもう1つのEoPバグは、CVE-2025-54918（CVSSスコア8.8）で、Windows NT LAN Manager（NTLM）に存在します。これは今回のセットでMicrosoftが唯一「重大」とマークしたCVEであり、多くの攻撃者の関心を集める可能性があります。なぜなら、悪用が容易で、システムに関する事前知識がほとんど不要であり、攻撃者が「脆弱なコンポーネントに対してペイロードを繰り返し成功させる」ことができるからです。

Immersiveの脅威リサーチシニアディレクター、Kev Breen氏は、Microsoftによるこの脆弱性の説明が限定的であるため、攻撃者が細工したパケットを脆弱なデバイスに送信することでシステムレベルの権限を取得できるもののように聞こえると述べています。パッチノートによれば、攻撃者はこの脆弱性を悪用するためにNTLMハッシュやユーザーの認証情報へのアクセスがすでに必要な場合があると、Breen氏はコメントしています。

Automoxのセキュリティマネージャー、Ryan Braunstein氏は、緊急対応が必要な他の2つのEoP脆弱性として、CVE-2025-54111（CVSSスコア：7.8）とCVE-2025-54913を挙げています。これらの脆弱性は、Windowsアプリケーションのユーザーインターフェースを作成するためのWindows UI XAMLの異なるコンポーネントに影響し、標準ユーザー権限を持つ攻撃者がローカルで特権を昇格できるようにします。攻撃者は、初期アクセスを与えるフィッシングされた認証情報や、XAMLフライアウト（ポップアップUIコンポーネント）を悪用する悪意のあるMicrosoft Storeアプリやパッケージアプリを使って、これらの脆弱性を悪用することが多いと、Braunstein氏はメールで述べています。「これらのCVEのパッチ適用はリスク低減のために優先すべきです」と彼は強調しました。

高優先度のRCE脆弱性

RCE関連で注目すべきバグの1つは、CVE-2025-55232 （CVSSスコア9.8）で、Microsoft High Performance Compute（HPC）Packに存在します。これは9月のアップデートでMicrosoftがCVSSスコア9.0超を付与した唯一の脆弱性です。「Microsoftはこの脆弱性を『悪用の可能性は低い』かつ『重要』としていますが、HPC Packを導入している環境では注意が必要です」とReguly氏は指摘しています。

今月Microsoftが攻撃者にとって魅力的だと指摘したもう1つのRCEバグは、CVE-2025-54916（CVSSスコア：7.8）で、Windows NTFSに存在します。Microsoftのパッチアドバイザリによれば、認証済みユーザーであればローカルマシンからこの脆弱性をトリガーできます。「攻撃者は細工したファイル操作や不正なリクエストを使って、SMBやローカルのパースルーチンを通じてNTFSパスを標的にすることで、この脆弱性を悪用する可能性があります」とAutomoxのシニアセキュリティエンジニア、Seth Hoyt氏は述べています。リスクの高い環境には、広範囲またはレガシーな共有を持つファイルサーバー、混在信頼ネットワーク、古いSMBダイアレクトを使用しているアプライアンスなどが含まれると、Hoyt氏はメールでコメントしています。

Nightwingのサイバーインシデントレスポンスマネージャー、Nick Carroll氏は、今月のMicrosoftパッチアップデートは、Windows 10のサポート終了日とAzureの多要素認証（MFA）義務化の次フェーズが近づいていることを意識する良い機会だと助言しています。これらはいずれも10月に実施されるため、セキュリティチームは今から準備を進めるべきだと、彼はコメントしています。

「Azureを利用している組織は、9月5日のMicrosoftのブログを参照してください：Azure多要素認証義務化：第2フェーズが2025年10月に開始」と彼は述べています。「また、10月までにWindows 10からの移行が間に合わない組織は、Microsoftが提供するWindows 10の拡張セキュリティ更新プログラム（ESU）を検討し、必要に応じて移行期間を延ばせるか確認してください。」