マイクロソフト、重大なWindows Serverバグに対する緊急パッチを発行

出典：Roman Milert（Alamy Stock Photo経由）

マイクロソフトは木曜日、実際に攻撃が発生しているWindows Server Update Service（WSUS）の重大な脆弱性に対して、再設計されたアップデートを展開しました。

CVE-2025-59287は、WSUSに存在するリモートコード実行（RCE）の脆弱性であり、WSUSはWindows Serverの一部として、管理者がパッチ、ホットフィックス、サービスパック、その他のアップデートをスケジュール、管理、配布できるようにします。この脆弱性にはマイクロソフトの10月のパッチチューズデーリリースで最初のパッチが提供されましたが、同社は「CVE-2025-59287に包括的に対応する」ため、さらに緊急パッチを発行しました。

この脆弱性は9.8のCVSSスコアを受けており、マイクロソフトのアドバイザリによると、攻撃者は「レガシーなシリアライズ機構における安全でないオブジェクトのデシリアライズ」を引き起こし、脆弱なシステム上でリモートでコードを実行することができます。懸念すべきことに、複数のサイバーセキュリティ企業が金曜日、CVE-2025-59287の悪用活動がすでに始まっていると警告しました。

「この脆弱性に対する攻撃者の活動が、より多くの組織に影響を与えるにつれて、CISA KEVにも間もなく波及すると予想されます」と、Horizon3の研究者はXでの投稿で本日述べました。また、金曜日のブログ投稿で、Huntressの研究者は木曜日から悪用活動を観測しており、脅威アクターがデフォルトポート（8530および8531）で公開されているWSUSインスタンスを標的にしていると述べています。

CVE-2025-59287">マイクロソフト、CVE-2025-59287に再度対応

先週、サイバーセキュリティ企業Hawktraceは、この脆弱性の技術分析と概念実証（PoC）エクスプロイトを公開しました。Hawktraceのセキュリティ研究者Batuhan Erは当時、この脆弱性がAuthorizationCookieオブジェクトがGetCookie()エンドポイントに送信され、BinaryFormatterによって適切な型検証なしにデシリアライズされることに起因すると説明しました。

「恒久的な緩和策としては、BinaryFormatterを安全なシリアライズ機構に置き換え、厳格な型検証を実装し、すべてのクッキーデータに対して適切な入力サニタイズを徹底する必要があります」とEr氏は記しています。

マイクロソフトはDark Readingに対し、CVE-2025-59287の最初のパッチが不完全だったことを認めました。「初期のアップデートが問題を完全に緩和できていないことが判明したため、このCVEを再リリースしました。最新のアップデートをインストールしているお客様はすでに保護されています」とマイクロソフトの広報担当者は述べていますが、それ以上のコメントはありませんでした。

CVE-2025-59287の最初のパッチがどこで不十分だったのかは不明です。更新されたアドバイザリには、元のパッチと緊急アップデートの違いについての記載はありません。

マイクロソフトのアドバイザリでは、この脆弱性が悪用されるにはWSUSサーバーロールが有効である必要があると記載されています。このロールはWindows Serverのデフォルトでは有効になっておらず、WSUSサーバーロールを有効にしている組織は一時的な緩和策として無効化することができます。また、同社はホストファイアウォールでポート8530および8531への着信トラフィックをブロックすることも推奨しています。