Microsoftが172件の脆弱性を修正するセキュリティアップデートを発表し、そのうち6件がゼロデイと分類されたため、システム管理者にとって10月は忙しい月となりそうです。
今月のパッチチューズデーリストにあるゼロデイ脆弱性のうち3件は、すでに積極的に悪用されています。
CVE-2025-59230は、Windowsリモートアクセス接続マネージャにおけるローカル権限昇格(EoP)のバグです。
「ユーザー操作が不要なため、攻撃者の標準的なツールキットにすぐに組み込まれるでしょう」とRapid7のリードソフトウェアエンジニア、アダム・バーネット氏は警告しています。
「アドバイザリ自体にはほとんど情報がありませんが、誰かがこの脆弱性の悪用方法を正確に知っています。」
CVE-2025-24990は、Windowsに同梱されているサードパーティ製Agere Modemドライバー(ltmdm64.sys)における別のEoP脆弱性です。興味深いことに、Microsoftはこの脆弱性を修正するのではなく、ドライバー自体を削除しました。
Immersiveのリードサイバーセキュリティエンジニア、ベン・マッカーシー氏は、このバグがレガシーコンポーネントのリスクを浮き彫りにしていると主張しています。
「このドライバーは1990年代後半から2000年代初頭のハードウェアをサポートしており、現在の安全な開発手法が確立される前のもので、長年ほとんど変更されていません。カーネルモードドライバーはシステムで最も高い権限で動作するため、攻撃者が権限を昇格させる際の主要な標的となります」と彼は説明しました。
「Microsoftがパッチを提供するのではなくドライバー自体を完全に削除した決定は、サポートされていないサードパーティ製レガシーコードの修正に伴うリスクへの直接的な対応です。このようなコンポーネントにパッチを適用しようとすると信頼性が低くなり、システムの不安定化や脆弱性の根本的な原因を完全に解決できない可能性があります。」
パッチチューズデーの詳細:今月のパッチチューズデーCVEに含まれる2件のゼロデイ
現在野放しで積極的に悪用されている3つ目のゼロデイはCVE-2025-47827で、これはIGEL OS(仮想デスクトップインフラストラクチャを提供するサードパーティ製OS)に影響を与えるセキュアブートバイパスのバグです。
Immersiveの脅威リサーチ担当シニアディレクター、ケブ・ブリーン氏によると、この脆弱性の概念実証は5月から公開されており、悪用は容易だと主張しています。
「セキュアブートバイパスの影響は重大であり、攻撃者はカーネルレベルのルートキットを展開してIGEL OS自体にアクセスし、さらに仮想デスクトップを改ざんしたり、認証情報を取得したりすることができます」と彼は付け加えました。
「これはリモート攻撃ではなく、通常は物理的なアクセスが必要なため、頻繁に出張する従業員に影響を与える『イービルメイド』型攻撃が最も想定される経路であることに注意が必要です。」
公開された3件のゼロデイ
残りの3件のゼロデイは公開されていますが、現時点では悪用されていません。それらは次の通りです:
- CVE-2025-0033:Secure Encrypted Virtualization – Secure Nested Paging(SEV-SNP)を使用するAMD EPYCプロセッサの重大な脆弱性。まだパッチは提供されていません。
- CVE-2025-24052:CVE-2025-24990と同様のAgere ModemドライバーにおけるEoPバグ
- CVE-2025-2884:TCG TPM2.0における範囲外読み取りの脆弱性で、情報漏洩やサービス拒否につながる可能性があります。
これはWindows 10ユーザーが無料アップデートを受け取る最後のパッチチューズデーです。 今後もパッチを受け取り続けるには、一般消費者および法人顧客はMicrosoftの拡張セキュリティアップデート(ESU)プログラムに料金を支払う必要があります。
画像クレジット:gguy / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/last-windows-10-patch-tuesday-six/
