Microsoftは2025年7月のPatch Tuesdayにおいて、130件の脆弱性に対処しました。これは過去の7月のパッチ数(2023年は130件、2024年は138件)と同水準です。
今回の最新パッチアップデートでは、特に懸念される自己増殖型マルウェア(悪名高いWannaCryやNotPetyaのマルウェアに類似)に悪用される可能性のあるものを含む、14件の重大な脆弱性が修正されています。
この脆弱性はCVE-2025-47981として追跡されており、Simple and Protected GSSAPI Negotiation Mechanism(SPNEGO)を標的としています。SPNEGOは、クライアントとサーバーなど、2者間で安全に認証方法を合意するためにコンピュータネットワークで使用されるプロトコルです。
SPNEGOは仲介役として機能し、どの認証方式(例:KerberosやNTLM)を使用するかを、機密情報を事前に公開することなく交渉します。
「SPNEGOは、SMB、RDP、IISなど、(好むと好まざるとにかかわらず)定期的にインターネットに公開されている重要なサービスで認証を交渉するために使用される基幹プロトコルです」と、WatchTowrのCEOであるBenjamin Harris氏は説明しています。
“ワーム化”の可能性がある脆弱性の公開
CVE-2025-47981は、SPNEGO拡張ネゴシエーション(NEGOEX)におけるリモートコード実行の脆弱性です。NEGOEXは、認証前に使用するセキュリティメカニズムを交渉できるようにするSPNEGOの拡張機能です。
この脆弱性は非常に重大で、CVSSスコアは9.8。標的ネットワークへの未認証アクセスのみで悪用可能です。Microsoftは、この脆弱性の悪用は「より可能性が高い」と評価しています。
TenableのSpecial Operations Team上級リサーチエンジニアであるSatnam Narang氏は、この脆弱性を「特異なバグ」と表現しました。
「悪用される可能性が高いとされているものの、Windows 10バージョン1607以降で、特定のグループポリシーオブジェクトがデフォルトで有効になっている場合のみ影響します。2022年以降、SPNEGO NEGOEXには多くの脆弱性はありませんでした。2022年に1件(CVE-2022-37958)、今年1月に1件(CVE-2025-21295)がありましたが、いずれも悪用される可能性は低いと評価されていました」と同氏は付け加えました。
それにもかかわらず、WatchTowrのHarris氏は、初期分析によるとこの脆弱性は“ワーム化”の可能性があり、自己増殖型攻撃に利用される恐れがあるため、懸念が残ると指摘しています。
「この脆弱性は、自己増殖型マルウェアに悪用される可能性があり、WannaCry事件のトラウマを多くの人に思い出させるような、重大な問題となる兆候を持っています」と同氏は述べています。
「我々は自分自身を欺くべきではありません。民間企業がこの脆弱性に気付いているのであれば、悪意を持つ攻撃者の全員がすでに注目しているのは間違いありません。防御側はすべてを後回しにして、迅速にパッチを適用し、公開されているシステムを徹底的に調査する必要があります」とHarris氏は付け加えました。
悪用可能性は低いが深刻なゼロデイ
Microsoftの7月のPatch Tuesdayアップデートには、ゼロデイ脆弱性(パッチが提供される前に公に開示された脆弱性)も含まれていました。
この脆弱性はCVE-2025-49719として追跡されており、Microsoft SQL Serverにおける深刻度の高い情報漏洩の脆弱性です(CVSSスコア7.5)。
しかし、TenableのNarang氏は、この脆弱性が公に開示されているにもかかわらず、攻撃者による悪用の可能性は低いと指摘しています。
「SQL Serverの利用者は、ドライバーの修正を含む最新バージョンにアップデートできます。ただし、独自アプリを構築している場合や、SQL Serverを利用する他社製ソフトウェアを使用している場合は、Microsoft OLE DB Driver for SQL Serverのバージョン18または19にアップデートするか、アップデート前に互換性を確認する必要があります」と同氏は説明しました。
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-patch-tuesday-july-2025/