出典: Zoonar GmbH via Alamy Stock Photo
Microsoftの10月のPatch Tuesdayセキュリティアップデートは、すでに攻撃者によって悪用されている2件、以前に公開された3件、そして同社が悪用される可能性が高いと考える十数件以上を含む、合計175件のCVEという大規模なものでした。
これは近年のMicrosoftのPatch Tuesdayアップデートとしては最大規模であり、今年これまでに公開された固有の脆弱性の数は、2024年に記録されたすべての脆弱性数を上回りました。
10月のMicrosoft脆弱性数、昨年1年分を上回る
「今年はまだ2か月残っていますが、今月のリリースで昨年修正された1,009件のCVEをすでに上回り、1,021件に達しました」とTenableのシニアスタッフリサーチエンジニア、Satnam Narang氏は声明で述べています。このアップデートは、Tenableが2017年にMicrosoftのパッチリリースの記録を開始して以来最大であり、Patch Tuesday以前に発行された臨時パッチや、発行元がMicrosoftでないものは含まれていないとも述べています。
例年通り、Microsoftが今週公開した脆弱性は幅広い製品に影響し、リモートコード実行(RCE)脆弱性、権限昇格の脆弱性、データ窃取を可能にする脆弱性、サービス拒否(DoS)攻撃、セキュリティ機能のバイパスなどが含まれています。
今週Microsoftが公開した多くの脆弱性は優先的な対応が必要ですが、特に攻撃者によってすでに積極的に悪用されている2つのゼロデイ脆弱性は注目に値します。
ゼロデイ脅威による権限昇格
ゼロデイの1つ、CVE-2025-59230(CVSS 7.8)はWindows Remote Access Connection Managerの脆弱性で、影響を受けるシステムにすでにアクセスしている攻撃者が、管理者権限まで権限を昇格できるものです。Action1の社長兼共同創設者であるMike Walters氏は、この脆弱性はVPNやリモートアクセス接続を管理するサービスが、低権限ユーザーからのコマンドを適切な認証なしに処理する方法に起因すると評価しています。「この脆弱性の悪用は比較的容易であり、技術的スキルが中程度の攻撃者でも利用可能です」と彼はコメントで警告しています。
もう1つの積極的に悪用されているゼロデイ、CVE-2025-24990(CVSS 7.8)もEoP(権限昇格)脆弱性で、今回はWindows Agereモデム用のサードパーティドライバーに存在します。このドライバーは、サポートされているすべてのWindows OSバージョンに標準搭載されています。攻撃者は、モデム自体が使用されていなくても、この脆弱性を悪用してシステムレベルの権限を取得できます。Microsoftはこのドライバーを削除しており、これによりAgereモデムはWindows上で動作しなくなります。「Microsoftは、このハードウェアへの既存の依存関係を削除することを推奨しています」とアドバイザリで述べています。
積極的に悪用されているゼロデイに加え、Microsoftは同じWindows Agereモデムサービスに関する、すでに概念実証(PoC)が公開されている別の脆弱性も公開しました。このゼロデイはCVE-2025-24052(CVSS 7.8)として追跡されており、これもEoP問題で、攻撃者がシステムレベルの権限を取得できるものです。
「モデムが使用されていなくても、悪用の危険性が残っており、攻撃者に管理者権限を与える可能性があります」とTenableのSatnam氏は指摘します。「この脆弱性の修正は注目に値します。Microsoftは10月の累積アップデートを通じて、Windows OSからドライバーltmdm64.sysを削除しています。」
注目すべきは、Microsoftのパッチアップデートには、攻撃者が積極的に悪用しているもう1つのゼロデイバグの修正も含まれていたことです。ただし、技術的にはこれはMicrosoftのCVEではありません。このバグ、CVE-2025-47827(CVSS 4.6)は、エンドポイントデバイス上で仮想デスクトップやクラウドワークスペースを管理する軽量LinuxベースのOSであるIGEL OSに影響します。この脆弱性は5月に公開され、CVE番号はMicrosoftではなくMITREによって割り当てられました。このバグはSecure Bootメカニズムのバイパスを可能にします。「この脆弱性が5月に公開された時点でPoCがすでに公開されており、脅威アクターがこの脆弱性を武器化するのは非常に容易です」とImmersiveのシニアディレクター、Kev Breen氏はメールコメントで述べています。
優先度の高いWindowsセキュリティ機能のバグ
Action1のWalters氏は、CVE-2025-59287(CVSS 9.8)、Windows Server Update ServiceのRCEバグを、セキュリティチームが優先して対応すべき問題として挙げています。WSUSは組織がアップデートやパッチを一元配信・管理する仕組みであり、このサービスのバグが悪用されると、攻撃者が大きな被害をもたらす可能性があります。これには「パッチインフラの完全な侵害、管理対象システムへの悪意ある“アップデート”の配布、環境内での横移動、アップデートインフラへの永続的なバックドア作成」などが含まれるとWalters氏は述べています。MicrosoftはCVE-2025-59287を、攻撃者による悪用の可能性が高い脆弱性としてタグ付けしています。
CVE-2025-55315(CVSS 9.9)も、Microsoftが今週公開したセキュリティ機能バイパスの1つです。このバグはASP.Net Coreフレームワークに影響し、悪用された場合、システムの機密性、完全性、可用性に大きな影響を及ぼす可能性があるとMicrosoftは述べています。攻撃者はユーザー認証情報の閲覧、ターゲットサーバー上のファイル内容の変更、さらにはシステムクラッシュの引き金まで可能になります。深刻ではありますが、「この脆弱性は匿名の攻撃者によって悪用されるものではなく、まず有効な低権限ユーザー認証情報で認証されている必要があります」とImmersiveのリードサイバーセキュリティエンジニア、Ben McCarthy氏はパッチリリースへのコメントで述べています。
パッチ提供終了:Windows 10のサポート終了
特筆すべきは、今週のパッチアップデートがWindows 10のサポート終了を示したことです。つまり、Microsoftは今後、Patch Tuesdayの定例アップデートの一環として、Windows 10の脆弱性に対する定期的なパッチを提供しなくなります。世界的に見ても、同OSはデスクトップWindowsバージョン市場の41%近くのシェアを持っているため、その影響は大きい可能性があります。
Nightwingのサイバーインシデントレスポンスマネージャー、Nick Carroll氏は、Windows 10を利用し続ける組織は、今後もパッチを受け取るには拡張セキュリティアップデートプログラムへの移行が必要になると述べています。また、今週サポート終了となった他のあまり知られていない製品には、Exchange Server 2016、Exchange Server 2019、Skype for Business 2016、Windows 11 IoT Enterprise Version 22H2、Outlook 2016などがあります。「これらすべての製品は今後セキュリティパッチが提供されなくなります」とCarroll氏は述べ、「しかし、それは脅威アクターが新たなエクスプロイトを作るのをやめるという意味ではありません」と警告しています。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/microsoft-october-patch-update
