管理者は、WindowsのレガシーAgereモデムドライバーを含む、積極的に悪用されている脆弱性を直ちに修正するよう強く求められています。
マイクロソフトの10月のパッチチューズデーリリースでは、今年最多となる167件の脆弱性が修正されます。そのうち7件は重大と評価され、CISOによる即時対応が必要です。
別途、SAPは13件の新しいセキュリティノートと、既存のセキュリティノートの4件の更新をリリースしました。
WSUS RCE
CVE-2025-59287は、Windows Server Update Service(WSUS)におけるリモートコード実行(RCE)を可能にする脆弱性です。CVSSv3スコアは9.8で重大と評価され、MicrosoftのExploitability Indexによると「悪用される可能性が高い」とされています。攻撃者は細工されたイベントを送信し、不正なデータのデシリアライズを引き起こすことでRCEを得ることができます。
Tenableによると、これは2023年以降のパッチチューズデーで修正されたWSUSの脆弱性としては3件目ですが、RCEとしては初めてであり、悪用される可能性が高いと評価されたのも初めてです。
「この脆弱性は、パッチ管理インフラ全体を危険にさらすため、CISOの即時対応が必要です」とMike Walters氏(Action1社長)は述べています。「これはWSUSにおける重大なデシリアライズの脆弱性(CVSS 9.8)であり、組織全体にセキュリティパッチを配信するシステムを脅かします。」
緊急パッチ適用に加え、チームはパッチ管理アーキテクチャとWSUSサーバーのネットワーク公開状況を見直すべきだと彼は付け加えました。WSUS環境が侵害されると、攻撃者は全管理エンドポイントに悪意のある「更新」を配信でき、組織のセキュリティに存在的な脅威をもたらします。
Microsoft Office RCE
CVE-2025-59227とCVE-2025-59234は、Microsoft Officeにおける2件の重大なリモートコード実行脆弱性です。
Tenableによると、攻撃者は標的に悪意のあるMicrosoft Officeドキュメントファイルを送信するソーシャルエンジニアリングを通じてこれらの脆弱性を悪用できます。成功すると攻撃者にコード実行権限が与えられます。
これらのバグは「プレビュウウィンドウ(Preview Pane)」を悪用するため、標的がファイルを開かなくても悪用が成立します。攻撃者は、悪意のあるOfficeドキュメントを添付したメールをプレビューさせるよう標的を誘導します。
Tenableはまた、悪用される可能性は「低い」とされているものの、Microsoftは両CVEともプレビュウウィンドウが攻撃経路であると述べており、ファイルを開く必要がないことを指摘しています。
Agereモデムドライバーの脆弱性
これらの脆弱性が重大と評価されているにもかかわらず、Satnam Narang氏(Tenable上級スタッフリサーチエンジニア)は、今月最も注目すべき2件の脆弱性は、約20年間Windows OSに含まれてきたサードパーティ製のAgereモデムドライバーにあると考えています。
なぜか?ひとつはCVE-2025-24990がゼロデイとして実際に悪用されており、もうひとつのCVE-2025-24052は本日修正が公開される前に公表されていました。「たとえモデムが使用されていなくても、脆弱性は残り、攻撃者に管理者権限を与える可能性があります」とNarang氏は述べています。
「この脆弱性の修正内容が示唆的です」と彼は続けます。マイクロソフトは10月の累積更新プログラムで、Windows OSからltmdm64.sysドライバーを削除します。Agereモデムハードウェアをまだ使用しているネットワーク管理者は、更新適用後にこれらのデバイスが使えなくなることに注意してください。
AgereモデムドライバーのCVE-2025-24990が実際に悪用されていることは、現代OSにレガシーコンポーネントを残すことのセキュリティリスクを示しています」とBen McCarthy氏(Immersive Labs主任サイバーセキュリティエンジニア)はコメントしています。脅威アクターはこの脆弱性を攻撃の第2段階として利用していると指摘しました。
攻撃チェーンは通常、フィッシングキャンペーン、認証情報の窃取、または公開アプリケーションの別の脆弱性悪用など、一般的な手法で標的システムへの初期侵入から始まります。このドライバーは1990年代後半から2000年代初頭のハードウェアをサポートしており、現在の安全な開発手法が確立される前のもので、長年ほとんど変更されていません。カーネルモードドライバーは最高権限で動作するため、攻撃者が権限昇格を狙う際の主要な標的となります、とMcCarthy氏は述べています。
Windows RasManおよびAMD Secure Processorの脆弱性
TenableのNarang氏が注目するもう一つの脆弱性は、CVE-2025-59230で、Windowsリモートアクセス接続マネージャ(RasMan)におけるゼロデイの権限昇格脆弱性です。RasManはVPNやダイヤルアップネットワークを通じたリモートネットワーク接続の管理に使用され、こちらも実際に悪用されています。
「RasManはパッチチューズデーの常連で、2022年1月以降20回以上登場していますが、ゼロデイとして実際に悪用されたのは今回が初めてです」とNarang氏は述べています。
Action1のWalters氏も、特定のAMD CPUのSecure Processorモジュールの脆弱性CVE-2025-0033に注目しています。悪意のあるハイパーバイザーがSecure Nested Paging(SNP)初期化中にリバースマップテーブル(RMP)を破損させる可能性があり、AMDによれば、SEV-SNPゲストメモリの完全性が失われる恐れがあります。AMDは緩和策をリリースしています。
「この脆弱性はAMDベースの機密コンピューティングインフラのセキュリティ境界に影響します」とWalters氏はCSOへのメールで述べています。「主にクラウドプロバイダーの懸念事項ですが、これらの環境で機密性の高いワークロードを管理するCISOは、プロバイダーと修正スケジュールを調整すべきです。規制対象や高度に機密なワークロードの機密コンピューティング保証を損なう可能性があります。」
CISOは、自チームがAzureのConfidential Computing(ACC)AMDベースクラスターを利用しているか確認したいかもしれません、とTyler Reguly氏(Fortra研究開発副ディレクター)は付け加えます。この脆弱性の修正は現在開発中で、現時点で解決策はありません。代わりに、顧客はAzure Service Health Alertsを監視し、ACCリソースの削除が必要になった際に通知を受け取れるようにしておく必要があります。
「チームがACCを利用している場合、定期的に確認し、再起動通知に注意しているかを確かめてください。そうすれば、この公表された脆弱性が解決された時期を把握できます」とReguly氏は述べています。
重大なWindowsグラフィックスの脆弱性
ImmersiveのMcCarthy氏によると、Microsoft Graphicsコンポーネントにも重大な権限昇格の脆弱性があり、優先的なパッチ適用が必要です。この脆弱性CVE-2025-49708は完全な仮想マシンエスケープであり、CVSSスコアは9.9です。「攻撃が成功すると、攻撃者は低権限の非重要なゲストVMへのアクセスだけで、ホストサーバー上でSYSTEM権限でコードを実行できます。この分離の失敗により、攻撃者は同じホスト上で稼働する他のすべてのVM(重要なドメインコントローラー、データベース、業務アプリケーションを含む)のデータにアクセス、操作、破壊が可能になります。」
Windows 10の更新終了
管理者は、今日10月14日がWindows 10搭載PC向けのセキュリティ更新が最後にリリースされる日であることも思い出してください。拡張セキュリティ更新(ESU)プログラムに登録していない限り、新たなセキュリティ更新は配信されません。Windows 10 Enterprise 2015 LTSBおよびWindows 10 IoT Enterprise LTSB 2015のLong-Term Servicing Branch(LTSB)サポートも本日終了しました。
IGEL OSの脆弱性
Kevin Breen氏(Immersive脅威リサーチシニアディレクター)は、CVE-2025-47827に注目しています。これは、仮想デスクトップインフラを提供するLinuxベースのOSであるIGEL OSのセキュアブートバイパス脆弱性です。バージョン11.0未満に存在し、実際に悪用されているため、管理者はこのパッチを優先すべきとBreen氏は述べています。
この脆弱性が5月に公開された際から概念実証(PoC)が一般公開されており、脅威アクターが武器化するのは容易だと彼は述べています。
「セキュアブートバイパスの影響は重大です」と彼は述べ、「脅威アクターはカーネルレベルのルートキットを展開し、IGEL OS自体にアクセスし、さらに仮想デスクトップを改ざんしたり、認証情報を取得したりできます。これはリモート攻撃ではなく、通常物理的なアクセスが必要なため、『イービルメイド』型攻撃が最も想定され、出張が多い従業員が影響を受けやすいです。」
SAPパッチ
ここ数ヶ月でNetweaver AS Javaの重大な不正デシリアライズ脆弱性に対する複数の修正が行われたのに続き、SAPは本日、追加の保護層をリリースしました。これはセキュリティノート#3660659で詳細に説明されており、CVSSスコアは10.0です。また、9月のCVE-2025-42944の更新にも記載されています。
セキュリティプロバイダーOnapsisによると、この追加保護層は、特定のクラスのデシリアライズを防ぐJava仮想マシン全体のフィルター実装に基づいています。ブロック推奨クラス・パッケージのリストは必須とオプションに分かれています。
「デシリアライズ問題が対処されない場合、悪用される(そして実際に悪用された)と、企業の業務停止に至る恐れがあります」とPaul Laudanski氏(Onapsisセキュリティリサーチディレクター)は警告しています。
管理者が直ちにパッチを適用できない場合、Pathlockの研究者はP4/P4S Java通信プロトコルのネットワークレベル隔離を暫定措置として推奨しています。
Onapsisはまた、CVSSスコア9.0のSAPセキュリティノート#3647332が、SAP Supplier Relationship Management(SRM)における無制限ファイルアップロード脆弱性を修正していることを指摘しています。ファイルの種類や内容の検証がないため、認証済み攻撃者が任意のファイルをアップロードできます。これらのファイルにはマルウェアを含む実行ファイルが含まれる可能性があり、ユーザーがダウンロード・実行すると、機密性・完全性・可用性に重大な影響を及ぼします。
もう一つの重大な問題(スコア9.8)は、SAPの印刷サービスSAPSprintのディレクトリトラバーサル脆弱性です。このCVE-2025-42937はパス検証が不十分で、認証不要でリモートからディレクトリトラバーサルやシステムファイルの上書きが可能です。Pathlockの研究者によれば回避策はなく、これらの更新を必ず適用する必要があります。
本日発行されたすべてのSAPパッチの中で、セキュリティチームはインターネット公開サービスやカーネルレベルの更新を優先し、PathlockのJonathan Stress氏は、その後アプリケーション層の項目をターゲットを絞った緩和策とリグレッションテストとともに進めるべきだと助言しています。
