Microsoft 365 Appsに新たに開示されたリモートコード実行(RCE)脆弱性が、エンタープライズ環境で懸念を呼んでいます。攻撃者は悪意を持ったExcelドキュメントを悪用することで、標的システム上で任意のコードを実行できます。
Hacking& Cracking
CVE-2025-60727として追跡されているこの脆弱性は、Microsoft Excelのファイル解析メカニズムに存在する境界外読み取り(CWE-125)に起因しています。脅威アクターはこれを悪用してメモリ破損を引き起こし、ログイン中のユーザーのコンテキストでコードを実行することが可能です。SentinelOneの報告によって明らかになりました。
Microsoft 365 Apps RCE脆弱性の詳細
この脆弱性は、Microsoft 365 Apps(x86およびx64の両方)、Excel 2016、Office 2019、Office LTSC 2021および2024、Office Online Serverなど、幅広いMicrosoft Office製品に影響を及ぼします。エンタープライズ環境とレガシー環境の双方にわたって攻撃対象領域が大幅に拡大する点が問題です。
根本的な問題は、Excelが特別に細工されたスプレッドシートファイルを処理する際に、長さとオフセット値の検証が不十分である点にあります。.xlsや.xlsxといったExcelファイル形式の内部構造を操作することで、攻撃者はアプリケーションに確保済みバッファの境界外にあるメモリを読み取らせることができます。
この境界外読み取りにより、機密性の高いメモリ領域が露出する可能性があります。さらに制御されたデータ構造と組み合わせることで、実行フローがリダイレクトされ、任意コードの実行につながる恐れがあります。
悪用には通常、悪意あるファイルを開くというユーザーの操作が必要ですが、フィッシングメール、ファイル共有プラットフォーム、ドライブバイダウンロードなど、現実的な配信手段が数多く存在します。
悪用に成功した場合、攻撃者は被害者ユーザーと同じ権限でコードを実行でき、システムの機密性・完全性・可用性が完全に侵害される可能性があります。
エンタープライズ環境では、ラテラルムーブメント、認証情報の窃取、そしてランサムウェアや情報窃取マルウェアといった追加ペイロードの展開が可能になります。
執筆時点では、実際の悪用事例や公開されたPoCコードの報告は確認されていませんが、この脆弱性は標的型キャンペーンで頻繁に見られるドキュメントベースの侵入手法と合致しています。
セキュリティチームは、Excelベースの攻撃に関連する侵害の痕跡を積極的に監視する必要があります。注意すべき不審な動作としては、ExcelがCmd.exe、PowerShell、mshta.exe、rundll32.exeなどの子プロセスを生成すること、またはEXCEL.EXEが開始する予期しない外部へのネットワーク接続などが挙げられます。
さらに警戒すべきシグナルとして、異常なOLE(Object Linking and Embedding)オブジェクトや不正なファイル構造を含む細工されたExcelドキュメント、ファイル解析中のアクセス違反を示すクラッシュテレメトリなどがあります。エンドポイント、メールゲートウェイ、プロキシの各ログを相関分析することで、悪用の試みやドキュメントベースの感染チェーンの特定に役立てることができます。
MicrosoftはCVE-2025-60727に対処するセキュリティアップデートをリリースしており、影響を受けるすべてのシステムへのパッチ適用を早急に優先するよう、組織に対して強く推奨しています。
並行して実施すべき緩和策としては、外部ソースからのファイルに対する保護ビューの適用、グループポリシーによるマクロおよび外部コンテンツのブロック、Officeアプリケーションが子プロセスを生成するのを防ぐ攻撃対象領域の削減(ASR)ルールの有効化などが挙げられます。
信頼されていないソースからのExcelファイルのダウンロード制限とメールフィルタリングの強化も、露出リスクのさらなる低減に効果的です。Excelがビジネスワークフローで広く活用されていることを踏まえると、この脆弱性はドキュメントベースの攻撃ベクターが依然として深刻なリスクをはらんでいることを改めて示しており、多層防御の実装がいかに重要であるかを浮き彫りにしています。
翻訳元: https://gbhackers.com/microsoft-365-apps-rce-vulnerability/