アメリカ政府のサイバー管理当局は、MicrosoftのWindows SMBクライアントに存在する重大な脆弱性が、修正パッチが提供されてから数か月後に実際に悪用されていると警告しました。
このバグはCVE-2025-33073として追跡されており、CISAの既知の悪用脆弱性(KEV)カタログに10月20日付で追加されました。これにより、実際の攻撃者が現在進行中のキャンペーンでこの脆弱性を利用していることが確認されました。この脆弱性はCVSSスコア8.8と評価されており、Windows 10、Windows 11(バージョン24H2まで)、およびサポートされているすべてのWindows Serverバージョンに影響します。
Microsoftは当初、2025年6月のPatch Tuesdayでこのバグを修正し、攻撃者が被害者のマシンを悪意のあるSMBサーバーに接続させることで、特権昇格やネットワーク内での横移動が可能になる可能性があると警告していました。
「攻撃者は、被害者を攻撃者が制御する悪意のあるアプリケーション(例:SMB)サーバーに接続させることができます。接続すると、悪意のあるサーバーがプロトコルを侵害する可能性があります」と、当時Redmondは説明していました。
「この脆弱性を悪用するには、攻撃者が特別に細工した悪意のあるスクリプトを実行し、被害者のマシンをSMB経由で攻撃システムに接続させて認証させることができます。これにより特権昇格が発生する可能性があります。」
CISAは、連邦政府の民間機関に対し、既知の悪用バグの迅速な修正を義務付けるBinding Operational Directive 22-01のもと、11月10日までに該当するパッチを適用するか、影響を受けるシステムを運用から除外するよう命じました。この指令は米国政府機関のみに適用されますが、CISAはすべての組織に対して、悪用の証拠があるとして直ちにパッチを適用するよう呼びかけています。
Microsoftは攻撃の内容や範囲についてまだ公にコメントしていませんが、CISAがこの脆弱性をカタログに追加したことは、信頼できる侵害の兆候を確認したことを示唆しています。この脆弱性はネットワーク経由でアクセス可能であり、特権昇格も可能なため、攻撃者が標的環境内でさらなるアクセス権を獲得するのに特に有用です。
SMBが企業内のファイル共有や通信でほぼ普遍的に利用されていることを考えると、セキュリティチームは6月のアップデートがすべてのエンドポイントとサーバーに適用されているか確認し、異常な外向きSMBトラフィックを監視し、信頼できないネットワークへのプロトコルの不要な公開を制限すべきです。
この警告は、CISAがOracleのE-Business Suiteに影響するものを含む4つの脆弱性をKEVリストに追加したタイミングで出されました。この脆弱性はCVE-2025-61884として追跡されており、今月初めにOracleによって修正されましたが、同社は実際に悪用されたかどうかについては明言していません。
CISAの警告は悪用された可能性を示唆していますが、EBSを通じた広範なClopキャンペーンの一部かどうかは不明です。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/21/cisa_windows_smb_bug/
