Microsoft 365 Appsセキュリティ更新プログラム、ExcelのRCE脆弱性(高深刻度)を修正

Microsoftは、Microsoft Office ExcelにおけるCVE-2025-60727の高深刻度の境界外読み取り脆弱性に対処するセキュリティ更新プログラムをリリースしました。この脆弱性を悪用されると、影響を受けるシステム上で任意のコードが実行される可能性があります。

本脆弱性が影響するOffice製品ラインは幅広く、Microsoft 365 Apps、Excel 2016、Office 2019、Office LTSC 2021、Office LTSC 2024、Office Online Serverが対象となっています。

CVE-2025-60727CWE-125(境界外読み取り)に分類されており、Excelのドキュメント解析処理における長さフィールドおよびオフセットフィールドの検証不備に起因しています。

被害者が細工されたスプレッドシートを開くと、パーサーが割り当てられたバッファの境界を越えてメモリを読み取ります。

攻撃者は悪意あるファイルの構造を制御できるため、アクセスされる隣接メモリに影響を与えることが可能です。さらに、そのメモリ開示を武器化してプログラムの実行フローを操作し、最終的にExcel内での任意コード実行を達成できます。

この特性から、本脆弱性はフィッシングキャンペーンやドキュメントを起点とした侵害チェーンに対して非常に悪用しやすい脆弱性となっています。悪意ある.xlsまたは.xlsxファイルは、メール添付ファイル、Webダウンロード、共有ファイルストレージ、リムーバブルメディアなどを通じて配布される可能性があります。

SentinelOneによると、悪用に成功した攻撃者は、ファイルを開いたユーザーの権限でコードをフルに実行できるとのことです。これにより、影響を受けたホスト上の機密性・完全性・可用性のすべてが完全に侵害されます。

セキュリティチームは、EXCEL.EXEから予期せず生成される子プロセス(cmd.exepowershell.exewscript.exerundll32.exeなど)を監視してください。これらは攻撃後の活動を示す強力な指標となります。

また、ドキュメントを開いた直後にEXCEL.EXEが開始する外部へのネットワーク接続や、外部送信者から届いた不正なBIFF/OOXML構造を含むExcelドキュメントにも注意が必要です。

ファイル解析中にEXCEL.EXEのアクセス違反を示すクラッシュイベントやWindowsエラー報告のテレメトリも、悪用の試みを示すシグナルとなる可能性があります。

組織は、ドキュメントを起点とした実行チェーンを早期に検出するために、Officeのテレメトリ、Sysmonのプロセスイベント、プロキシログを中央のSIEMで相関分析することをお勧めします。

Microsoftは月次セキュリティ更新プログラムのチャネルを通じて修正を提供しています。Microsoft 365 Appsについては、管理者はクイック実行(Click-to-Run)チャネルが完全に最新の状態になっていることを確認してください。

永続ライセンス版のOfficeについては、Microsoftセキュリティ更新プログラムガイドに記載されている対応するセキュリティ更新プログラムパッケージを展開してください。

外部ドキュメントを定期的に扱うユーザー(財務、人事、役員秘書、その他外部向け業務を担う部門など)を優先してパッチを適用することを推奨します。

暫定的な回避策として、セキュリティチームはインターネットまたはメール添付ファイルから受け取ったファイルに対して保護ビューを強制適用し、グループポリシーまたはMicrosoft Intuneを使用して信頼されていないソースからのマクロや外部コンテンツをブロックするよう設定してください。

信頼されていないソースからのExcelファイルをメールゲートウェイおよびWebプロキシでブロックすることで、攻撃対象領域をさらに縮小できます。なお、公開時点では公開されたPoCや実際の攻撃への悪用は報告されていません。

翻訳元: https://cyberpress.org/microsoft-365-apps-security-update/

ソース: cyberpress.org