出典:Tatiana Popova(Shutterstock経由)
ここ数ヶ月とは異なり、7月のマイクロソフトのセキュリティアップデートにはゼロデイ脆弱性は含まれていません。しかし、137件の新たに公開された脆弱性(うち1件は既に公表済み)を含んでおり、企業のセキュリティチームにとっては依然として大きな課題となっています。
マイクロソフトは、これらの脆弱性のうち17件について、攻撃者による悪用の可能性が高いと判断しています。その中には、主要なアイデンティティフェデレーションプロトコルにおけるほぼ最大深刻度のリモートコード実行(RCE)脆弱性や、SharePoint、Office、ドメイン認証用のWindows KDCプロキシサービスなど他の技術における重大なRCE脆弱性も含まれています。
10件以上の重大な脆弱性
今週マイクロソフトが公開した脆弱性のうち、14件が重大な深刻度と評価されています。そのうち10件がRCE脆弱性、1件が情報漏洩脆弱性、2件がAMDサイドチャネル攻撃の脆弱性です。
7月のアップデートで最優先で対応すべき脆弱性の筆頭は、SPNEGO拡張ネゴシエーション(NEGOEX)セキュリティメカニズムにおけるRCE脆弱性「CVE-2025-47981」(CVSSスコア:9.8)です。これは安全な認証プロトコルであり、リモートの攻撃者が細工されたメッセージを利用して、脆弱なシステム上で任意のコードを実行できる可能性があります。
「認証されていない単一のNEGOEXパケットで、攻撃者が制御するコードを[ローカルセキュリティ機関サブシステムサービス(LSASS)]に直接投入でき、システム権限で実行されます」と、Qualysのセキュリティリサーチ上級マネージャー、Saeed Abbasi氏は説明します。このバグは攻撃者によるユーザー操作や認証情報を必要としません。「これは単なるバグではなく、組織に向けられた装填済みの銃です」とAbbasi氏はメール声明で述べています。「一度侵入されると、デフォルトのPKU2U設定が有効なすべてのWindows 10エンドポイントに攻撃が波及する可能性があります。NEGOEXのエクスプロイトが数日以内に武器化されると予想しており、攻撃は差し迫っています」と警告しています。
Immersiveの主任サイバーセキュリティエンジニア、Ben McCarthy氏は、組織がこの脆弱性をできるだけ早く修正することを推奨しています。PKU2Uを利用していない環境では、関連するグループポリシー設定を無効化してリスクを減らすことを検討すべきです。また、セキュリティチームは外部からアクセス可能なシステムで認証の露出がないか確認し、NEGOEXやSPNEGOの異常なトラフィックを監視する必要があると、McCarthy氏は声明で述べています。これは偵察や悪用活動の兆候である可能性があります。
マイクロソフトが悪用されやすいと判断した他のRCE脆弱性には、SharePointに影響するCVE-2025-49701(CVSSスコア:8.8)およびCVE-2025-49704(CVSSスコア:8.8)があります。Tenableの上級スタッフリサーチエンジニア、Satnam Narang氏によれば、攻撃者は脆弱なSharePointサーバーでサイトオーナー権限で認証されている必要があります。これらのCVEは今年だけで16件に上るSharePointの脆弱性リストに加わり、SharePointが攻撃者にとって依然として魅力的な標的であることを示しています。昨年はマイクロソフトが合計20件のSharePoint脆弱性を公開し、2023年は25件、2022年は20件でした。
例年通り、Microsoft Officeにも重大なRCE脆弱性が複数(今回は5件)含まれています:CVE-2025-49695(CVSSスコア:8.4)、CVE-2025-49696(CVSSスコア:8.4)、CVE-2025-49697(CVSSスコア:8.4)、CVE-2025-49698(CVSSスコア:7.8)、CVE-2025-49702(CVSSスコア:7.8)です。Action1のCEO兼共同創業者、Alex Vovk氏によれば、特に注意すべきはCVE-2025-49695(use after freeバグ)とCVE-2025-49696(範囲外読み取り/ヒープベースのバッファオーバーフロー)です。「どちらもマイクロソフトが悪用の可能性が高いと評価しており、ユーザー操作を必要とせず、プレビューペイン経由でトリガーされるため危険性が高い」とVovk氏はコメントしています。攻撃者は、悪意あるOfficeドキュメントのメール添付や、侵害されたウェブサイトからのドライブバイダウンロードなど、複数の方法でこれらの脆弱性を悪用できます。
権限昇格およびセキュリティバイパスの脆弱性
7月のアップデートにおける高優先度の脆弱性の多くはRCEですが、すべてではありません。例外の一つが、Windows Updateサービスに影響する権限昇格の問題「CVE-2025-48799」(CVSSスコア:7.8)です。これは今月のアップデートの中で、マイクロソフトが攻撃者による悪用の可能性が高いと考えているバグの一つです。「この脆弱性は、ファイルアクセス前の不適切なリンク解決、いわゆる『リンクフォロー』に起因します」とImmersiveのサイバーセキュリティエンジニア、Jacob Ashdown氏はメール声明で述べています。「この種の脆弱性は、システムがファイルにアクセスする前にシンボリックリンクやジャンクションを適切に検証しない場合に発生します。」攻撃者はこの問題を利用して、「Windows Updateサービスに保護されたシステムディレクトリ内のファイルを上書きまたは実行させる」ことが可能であり、即時のパッチ適用が推奨されます。
マイクロソフトが悪用リスクが高いと分類した他の非RCEバグには、BitLocker技術に影響するセキュリティ機能バイパスの脆弱性「CVE-2025-48001」(CVSSスコア:6.8)、「CVE-2025-48800」(CVSSスコア:6.8)、「CVE-2025-48804」(CVSスコア:6.8)、「CVE-2025-48818」(CVSSスコア:8.8)の4件があります。
QualysのAbbasi氏は、Microsoft SQL Serverにおける情報漏洩の脆弱性「CVE-2025-49719」も7月の注目すべきバグだと指摘しています。「マイクロソフトは、この脆弱性が既に公表されており、初期化されていないメモリが漏洩する可能性があると述べています。」バグ公開に付随するFAQでは、影響を受ける組織がドライバを指定バージョンに更新することを推奨していますが、OLE DBドライバのバージョンは記載されておらず、アップデートセクションにも更新情報はありません。「これは『OLE DBドライバも影響を受けるのか、それともFAQのコピペミスなのか?』という疑問を投げかけます。もしドライバが影響を受けるなら、アップデートはどこにあるのでしょうか?」この件についてマイクロソフトからのコメントは現時点で得られていません。
翻訳元: https://www.darkreading.com/application-security/microsoft-patches-137-cves-no-zero-days