重要なのは、Active DirectoryのKerberosの脆弱性、Visual Studio Copilot拡張機能、そしてMicrosoft Graphics Componentの問題です。
サーバー、コントローラー、デスクトップにおけるゼロデイの特権昇格Windowsカーネル脆弱性が積極的に悪用されており、直ちにパッチを適用する必要があります。
これは、Tenableの上級スタッフリサーチエンジニアであるSatnam Narang氏のアドバイスであり、本日の11月パッチチューズデーでMicrosoftが特定した63件の脆弱性のうち、対処すべき2大脆弱性の1つです。
また、SAPは本日、26件の新規および更新されたセキュリティパッチの中で、4件のHotNewsノートと2件のHighPriorityノートをリリースしました。1つのパッチは、ハードコードされた認証情報のためSQL Anywhere Monitorを削除します。
本日、Adobeは8件のアップデートを、Mozillaは3件のアップデートをリリースしました。
Windowsカーネルの脆弱性
Microsoftが対処すべき最も緊急性の高い脆弱性はCVE-2025-62215(Windowsカーネルの脆弱性)ですと、Narang氏はCSOへのメールで述べています。「このバグを悪用するにはかなりの前提条件が必要ですが、Microsoftはすでに積極的な悪用が進行中であることを確認しています。この脆弱性の影響は無視できません。特権昇格の脆弱性は、組織内の他の扉を開く鍵となるからです。これが攻撃者が初期侵入から本格的な侵害へと進む方法です。」
また、Mike Walters氏(Action1社長)は、この脆弱性がデスクトップだけでなく、サーバーやドメインコントローラーにも影響を与えると指摘しています。
Chris Goettl氏(Ivantiプロダクトマネジメント副社長)は、この脆弱性が現在サポートされているすべてのWindows OSエディションおよびESU(拡張セキュリティ更新プログラム)対象のWindows 10マシンに影響すると述べています。「つまり、Windows 10のサポート終了後も使い続けることは仮定上のリスクではありません。」
Ben McCarthy氏(Immersive社リードサイバーセキュリティエンジニア)は、この脆弱性の悪用方法を説明しています。低権限のローカルアクセスを持つ攻撃者が、レースコンディションを繰り返し発生させる特別に作成されたアプリケーションを実行できます。目的は、複数のスレッドを同期されていない方法で共有カーネルリソースと相互作用させ、カーネルのメモリ管理を混乱させて同じメモリブロックを2回解放させることです。この「ダブルフリー」が成功するとカーネルヒープが破損し、攻撃者はメモリを上書きしてシステムの実行フローを乗っ取ることができます。
Microsoftによれば、この脆弱性を悪用するための攻撃の複雑さは高いものの(レースコンディションを制する必要があるため)、必要な権限は低いとされています。そして、得られる報酬は大きい:この脆弱性を悪用した攻撃者はSYSTEM権限を獲得できます。
Windows ESUプログラム利用者は、Nick Carroll氏(Nightwingサイバーインシデントレスポンスマネージャー)によれば、一部のユーザーが拡張セキュリティ更新プログラムへの登録に問題を報告していることに注意が必要です。Microsoftは最近、Windows 10 Consumer Extended Security Updateプログラムへの登録時の問題に対処するため、臨時のアップデートをリリースしました。プログラムへの参加を計画している管理者は、KB5071959をインストールして登録問題に対処してください。その後、今日のKB5068781など他のアップデートもインストールできるようになります。
Visual Studio Copilot拡張機能の脆弱性
2つ目の主要な脆弱性はCVE-2025-62222で、Microsoft Visual Studio Code Copilot Chat Extensionにおけるリモートコード実行の脆弱性です。
悪用される可能性は低いと評価されていますが、Narang氏は「これは生成AIやエージェントAI(基盤モデルやオープンソースモデル、AI支援コード編集ツールを含む)にバグを見つけることへの関心の高まりを示しています」と述べています。
Cisco Systemsの研究者たちは、この脆弱性の悪用は簡単ではなく、プロンプトインジェクション、Copilotエージェントとのやり取り、ビルドのトリガーという複数のステップが必要だと述べています。Ciscoは、Microsoftが攻撃の複雑さを「高」と評価し、悪用の可能性を「低い」と判断していることを指摘しています。
CSOはすでにガバナンスとポリシーの施行によって新たなAIリスクに対処すべきだとNarang氏は付け加えています。「シャドウAIや無制限のAI利用が組織内に蔓延する場合、CSOはこの新たで複雑な攻撃対象領域を管理するために戦略を修正しなければなりません。」
Kerberosの脆弱性
リリースされた修正の中には、Silverfortの研究者が発見したActive DirectoryのKerberos委任の脆弱性CVE-2025-60704(CheckSumと呼ばれる)も含まれています。悪用されると、攻撃者は認証済みユーザーになりすまし、権限を昇格し、隠れ続けることができます。
Kerberosはアプリケーションがユーザーに代わって安全に認証するための仕組みであるため、これが悪用されると危険だとSilverfortは説明しています。中間者攻撃技術を使うことで、この脆弱性は研究者が任意のユーザーになりすまし、最終的にドメイン全体を制御することを可能にします。
「Kerberos委任機能を有効にしてActive Directoryを使用している組織はすべて影響を受けます」とSilverfortは述べています。「これは世界中の何千もの企業がこの脆弱性の影響を受けることを意味します。」
Microsoft Graphics Componentの脆弱性
FortraのR&DアソシエイトディレクターであるTyler Reguly氏は、重大度が高いと評価された複数の脆弱性の1つであるCVE-2025-60724に注目しました。これはMicrosoft Graphics Componentにおけるヒープベースのバッファオーバーフローで、認証されていない攻撃者がネットワーク経由でコードを実行できる可能性があります。
Microsoftは「最悪の場合、攻撃者はユーザーの操作なしに、特別に細工されたメタファイルを含むドキュメントをアップロードすることで、Webサービス上でこの脆弱性を引き起こすことができる」と述べています。
「もし私がCISOなら、今月はCVE-2025-60724が気がかりです」と彼はCSOに語りました。「MicrosoftとCVSSがともに重大と評価し、ユーザー操作も権限も不要で、ファイルのアップロードだけで攻撃可能な脆弱性です。ファイルタイプや影響を受ける技術(タイトルのGDI+以外)、サービスについては何も分かっていません。SharePointインフラは大丈夫か?サードパーティソフトウェア(Wikiやバグトラッカー)は?詳細が少ない分、不気味さを感じます。」
Ciscoは、この脆弱性は被害者に特別に細工されたメタファイルを含むドキュメントを開かせることで発動できると説明しています。
「最悪の場合」と研究者らは記していますが、「攻撃者はユーザー操作なしに、特別に細工されたメタファイルを含むドキュメントをWebサービスにアップロードすることでこの脆弱性を発動できます。攻撃者はWebサービスをホストするシステム上で特権を必要としません。この脆弱性を悪用されると、特別に細工されたメタファイルを含むドキュメントを解析するWebサービスで、被害者ユーザーの関与なしにRCEや情報漏洩が発生する可能性があります。」
SAPのパッチ
SAPが本日リリースしたパッチには、以前の修正に関連するアップデートノートも含まれています。その中には2件のHotNewsパッチも含まれます。しかし、新たにOnapsisが高優先度と評価する2件のパッチもあり、SAP Commerce Cloud(CVSSスコア7.5)とSAP CommonCryptoLib(同じく7.5)に対応しています。
ノートの1つ、#3666261はCVSSスコア10で、ハードコードされた認証情報によるSQL Anywhere Monitorの安全でない鍵・秘密管理の脆弱性に対応しています。SQL Anywhere Monitorは、管理者にSQL Anywhereデータベース、MobiLinkサーバー、MobiLinkサーバーファームの稼働状況や可用性を提供するブラウザベースの管理ツールです。また、Webサーバー、プロキシサーバー、ホストコンピュータの可用性情報も提供できます。
このパッチはSQL Anywhere Monitorを完全に削除するとOnapsisの研究者らは述べています。一時的な回避策として、SAPは管理者にこのツールの使用を中止し、SQL Anywhere Monitorデータベースのインスタンスを削除することを推奨しています。
もう1つ注目すべきノートは、#3668705(CVE-2025-42887)で、SAP Solution Managerのコードインジェクション脆弱性に対応しています。リモート対応機能モジュールで入力サニタイズが欠如しているため、認証済み攻撃者がシステムに悪意のあるコードを注入できてしまいます。CVSSスコア9.9で評価されており、この脆弱性は、ほとんどの英数字以外の文字を拒否する入力チェックを追加することで修正されています。
「CVE-2025-42887は特に危険です。なぜなら、低権限ユーザーからコードを注入でき、結果としてSAP全体の乗っ取りや全データの漏洩につながるからです」とSecurityBridgeのセキュリティリサーチディレクター、Joris van de Vis氏は指摘しています。
Onapsis CTOのJuan Pablo Perez-Etchegoyen氏も、管理者はノート#3633049に迅速に対応する必要があると述べています。「これはCVSS 7.5ですが、認証前にリモートから悪用可能なメモリ破損であり、この種の脆弱性は性質上、サービス拒否やシステム乗っ取りの可能性が高いため非常に重大です」と彼はCSOへのメールで述べています。
しかし、これら多くの脆弱性については、パッチ適用だけでは不十分であり、アーキテクチャ、公開範囲、セグメンテーション、モニタリングも重要だとAction1のMike Walters氏は助言しています。「CSOはパッチ適用チームだけでなく、サービスオーナー(印刷、スキャン、ドキュメント共有、リモートアクセス)、ネットワーク/セキュリティチーム(セグメンテーションと公開範囲の管理)、ログ/モニタリングチーム(パッチ適用後の検証)も巻き込む必要があります」と彼は述べています。
