コンテンツにスキップするには Enter キーを押してください

Microsoft、78の欠陥を修正、5つのゼロデイが悪用される; CVSS 10のバグがAzure DevOps Serverに影響

投稿日 2025年5月14日

Image

Microsoftは火曜日に、アクティブに野生で悪用されている5つのゼロデイを含む、合計78のセキュリティ欠陥に対処する修正を出荷しました。

技術大手が解決した78の欠陥のうち、11は重大、66は重要、1は低い深刻度と評価されています。これらの脆弱性のうち28はリモートコード実行につながり、21は権限昇格バグ、16は情報漏洩の欠陥として分類されています。

この更新は、先月のPatch Tuesdayアップデート以降にChromiumベースのEdgeブラウザで同社が修正したさらに8つのセキュリティ欠陥に加えられています。

野生でアクティブに悪用されている5つの脆弱性は以下の通りです –

  • CVE-2025-30397 (CVSSスコア: 7.5) – スクリプトエンジンメモリ破損の脆弱性
  • CVE-2025-30400 (CVSSスコア: 7.8) – Microsoft Desktop Window Manager (DWM) コアライブラリの権限昇格の脆弱性
  • CVE-2025-32701 (CVSSスコア: 7.8) – Windows Common Log File System (CLFS) ドライバの権限昇格の脆弱性
  • CVE-2025-32706 (CVSSスコア: 7.8) – Windows Common Log File System ドライバの権限昇格の脆弱性
  • CVE-2025-32709 (CVSSスコア: 7.8) – Windows Ancillary Function Driver for WinSock の権限昇格の脆弱性

最初の3つの欠陥はMicrosoftの脅威インテリジェンスチームにより報告され、CVE-2025-32706の発見にはGoogle Threat Intelligence GroupのBenoit SevensとCrowdStrike Advanced Research Teamが認められています。CVE-2025-32709は匿名の研究者によって報告されました。

“Microsoftのスクリプトエンジンにおける別のゼロデイ脆弱性が特定されました。このコンポーネントはInternet ExplorerとMicrosoft EdgeのInternet Explorerモードで使用されます。”とAction1のCEOで共同創設者のAlex VovkはCVE-2025-30397について述べました

“攻撃者は悪意のあるウェブページやスクリプトを介してこの欠陥を悪用し、スクリプトエンジンがオブジェクトタイプを誤解釈することでメモリ破損と任意のコード実行を引き起こします。ユーザーが管理者権限を持っている場合、攻撃者はシステム全体の制御を得ることができ、データの盗難、マルウェアのインストール、ネットワーク全体での横移動を可能にします。”と述べました。

CVE-2025-30400は、2023年以来、野生で武器化されたDWMコアライブラリの3番目の権限昇格の欠陥です。2024年5月、MicrosoftはCVE-2024-30051のパッチを発行しました。これはKasperskyがQakBot(別名Qwaking Mantis)マルウェアを配布する攻撃で使用されたと述べました

“2022年以来、Patch TuesdayはDWMにおける26の権限昇格の脆弱性に対処しています。”とTenableのシニアスタッフ研究エンジニアであるSatnam NarangはThe Hacker Newsに共有した声明で述べました。

“実際、2025年4月のリリースにはDWMコアライブラリの権限昇格の脆弱性に対する5つの修正が含まれていました。CVE-2025-30400以前には、ゼロデイとして悪用されたDWMの権限昇格バグは2つだけでした – 2024年のCVE-2024-30051と2023年のCVE-2023-36033です。”と述べました。

CVE-2025-32701とCVE-2025-32706は、CLFSコンポーネントで発見された7番目と8番目の権限昇格の欠陥であり、2022年以来現実の攻撃で悪用されています。先月、MicrosoftはCVE-2025-29824が米国、ベネズエラ、スペイン、サウジアラビアの企業を標的とした限定的な攻撃で悪用されたことを明らかにしました

CVE-2025-29824は、米国の匿名の組織を標的とする攻撃の一環として、Playランサムウェアファミリーに関連する脅威アクターによってゼロデイとしても悪用されたと、Broadcom傘下のSymantecが今月初めに明らかにしました。

CVE-2025-32709も同様に、WinSockコンポーネントのAncillary Function Driverにおける3番目の権限昇格の欠陥であり、CVE-2024-38193CVE-2025-21418の後、1年の間に悪用されました。CVE-2024-38193の悪用は、北朝鮮関連のLazarus Groupに帰属されています。

この開発により、米国のサイバーセキュリティおよびインフラセキュリティ庁(CISA)は、5つの脆弱性すべてを既知の悪用された脆弱性(KEV)カタログに追加し、連邦機関に2025年6月3日までに修正を適用するよう求めています。

MicrosoftのPatch Tuesdayアップデートは、Linux用のMicrosoft Defender for Endpointにおける権限昇格バグ(CVE-2025-26684, CVSSスコア: 6.7)にも対処しており、認可された攻撃者がローカルで権限を昇格させることができる可能性があります。

この脆弱性を報告した2人の研究者のうちの1人であるStratascaleの研究者Rich Mirchは、問題はJava Runtime Environment(JRE)バージョンを決定するための関数(”grab_java_version()”)を含むPythonヘルパースクリプトに根ざしていると述べました。

“この関数は、/proc/<PID>/exeシンボリックリンクをチェックしてディスク上のJavaバイナリの場所を決定し、その後java -versionコマンドを実行します。”とMirchは説明しました。”問題は、Javaバイナリが信頼できない場所から実行される可能性があることです。悪意のあるローカルの非特権ユーザーがjavaまたはjavawという名前のプロセスを作成し、最終的にJREのバージョンを決定するためにroot権限で実行されます。”と述べました。

もう一つの注目すべき欠陥は、Microsoft Defender for Identityに影響を与えるスプーフィングの脆弱性(CVE-2025-26685, CVSSスコア: 6.5)であり、LANアクセスを持つ攻撃者が隣接するネットワーク上でスプーフィングを実行できるようにします。

横移動パス検出機能は、NTLMハッシュを取得するために敵対者によって悪用される可能性があります。”とRapid7のリードソフトウェアエンジニアであるAdam Barnettは声明で述べました。”この場合の侵害された資格情報はディレクトリサービスアカウントのものであり、KerberosからNTLMへのフォールバックを達成することに依存しています。”と述べました。

最大の深刻度を持つ脆弱性はCVE-2025-29813(CVSSスコア: 10.0)であり、Azure DevOps Serverにおける権限昇格の欠陥で、認可されていない攻撃者がネットワーク上で権限を昇格させることができます。Microsoftは、この欠陥はすでにクラウドに展開されており、顧客側でのアクションは必要ないと述べました。

他のベンダーからのソフトウェアパッチ#

Microsoftに加えて、過去数週間にわたり、他のベンダーからもいくつかの脆弱性を修正するためのセキュリティアップデートがリリースされています。以下を含みます —

翻訳元: https://thehackernews.com/2025/05/microsoft-fixes-78-flaws-5-zero-days.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です