マイクロソフトは昨日、今月のパッチチューズデーにおいて81件の脆弱性を修正するアップデートを発表しました。その中には、公開はされているもののまだ悪用されていないゼロデイ脆弱性が2件含まれています。
1つ目はCVE-2024-21907で、これはSQL Serverの一部であるNewtonsoft.Jsonにおける例外的な条件の不適切な処理に関連しています。このバグは2024年1月に最初に公開されましたが、Rapid7のリードソフトウェアエンジニアであるAdam Barnettによれば、2018年まで遡って指摘されていた可能性もあるとのことです。
「SQL Serverに対して、何千ものネストされたオブジェクトを持つJSONオブジェクトのデシリアライズを要求したらどうなるでしょうか?サービス拒否(DoS)を引き起こすと予想したなら、その通りです。これがCVE-2024-21907の内容です」と彼は説明しています。
「ゼロデイ脆弱性としては、特に恐ろしいものではないように思えます。なぜなら、攻撃者ができる最悪のことはサービスを停止させることであり、それは再起動できるからです。もちろん、それは相対的な話であり、病院や空港、その他の重要インフラのように非常に重要な作業をしているSQL Serverインスタンスもあるため、注意が必要です。」
パッチチューズデーの詳細はこちら:5月のパッチチューズデーでマイクロソフトが7件のゼロデイを修正
2つ目のゼロデイはCVE-2025-55234で、リモートから悪用可能なWindows SMBの権限昇格(EoP)脆弱性です。
「マイクロソフトによれば、ネットワークアクセスを持つ攻撃者がターゲットホストに対してリプレイ攻撃を実行でき、その結果、追加の権限を取得し、コード実行につながる可能性があるとのことです」とImmersiveの脅威リサーチ担当シニアディレクター、Kev Breen氏は説明しています。
「SMBサーバーにはすでに、SMBサーバー署名や認証のための拡張保護などの機能を有効にすることでリプレイ攻撃に対する強化策があります。これらの追加セキュリティ機能を有効にする前に、組織はその影響を確認する必要があります。なぜなら、これらの機能を有効にすると、一部のサードパーティ統合やネットワーク構成に悪影響を及ぼす可能性があるためです。」
マイクロソフトはまた、追加のセキュリティ機能を有効にする前に互換性の問題を評価できるよう、ユーザーに監査機能も提供しています。
悪用の可能性が高い
Breen氏は、今回のパッチチューズデーで修正された他の複数のEoP脆弱性についても、マイクロソフトが「悪用の可能性が高い」とラベル付けしていることを指摘しています。これには以下が含まれます:
- CVE-2025-54110(Windowsカーネルに影響)
- CVE-2025-54093(Windows TCP/IPドライバー)
- CVE-2025-54098(Windows Hyper-Vシステム)
「ローカル権限昇格の脆弱性はCVSSスコアが高くなることはあまりありませんが、それが重要でないということではありません。脅威アクターがリモートコード実行(RCE)脆弱性、盗まれた認証情報、またはフィッシング攻撃を通じて初期のコード実行に成功した場合、次にホスト上で、可能であればドメイン全体で権限を昇格させようとします」と彼は説明しています。
「システムまたは管理者レベルの権限を得ることで、脅威アクターはセキュリティツールやログの無効化、追加のマルウェアやツールの展開、さらにはネットワーク内での横移動も可能になります。」
合計で、修正対象となるEoP脆弱性は41件、RCE脆弱性は22件ありますが、そのうちEoPは2件、RCEは5件のみがクリティカルと評価されています。
画像クレジット:gguy / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/two-zero-days-patch-tuesday-cves/