TokyoBlackHatNews

esecurityplanet.com 5分で読了

Windows Defender ファイアウォールのバグが機密メモリを漏えい

新たに公開された Windows Defender ファイアウォール サービスの欠陥により、特権を持つ攻撃者がシステムメモリの機密な一部を読み取れる可能性があります。

この脆弱性は「…認可された攻撃者がローカルで情報を漏えいさせることを可能にする」と、Microsoft はアドバイザリの中で述べています。

CVSS スコアが低くても重要な理由

CVSS スコアは 4.4 と比較的低いものの、この欠陥は Windows の中核コンポーネントにおけるメモリ安全性リスクが依然として続いていることを浮き彫りにしています。 

影響を受けるシステムには、Windows Server 2025、Windows Server 2022、そして Windows 11(23H2、24H2、25H2)が含まれ、x64 と ARM64 の両アーキテクチャが対象です。 

境界外読み取りにより、権限昇格済みの攻撃者はユーザー操作なしでメモリ断片を抽出でき、追加の侵害手法と組み合わさることで、認証情報、構成データ、その他の機密情報が露出する可能性があります。 

Microsoft は悪用の可能性は低く、実際の攻撃や PoC(概念実証)コードも確認されていないとしていますが、メモリ情報漏えいのバグは、多段階攻撃の構成要素としてよく利用されます。特に、特権アクセス制御が弱い環境ではその傾向が顕著です。

Windows Defender メモリバグの内部

CVE-2025-62468 として追跡されているこの脆弱性は、Windows Defender ファイアウォール サービスにおける境界チェックのエラーに起因しており、意図されたメモリバッファの範囲を超えてデータを読み取ることをサービスに許してしまいます。 

影響を受けるコンポーネントはシステムの高い特権で動作しているため、すでに高レベルのアクセス権を持つローカル攻撃者は、この欠陥を意図的にトリガーし、ヒープメモリの任意の領域を読み取ることができます。 

この挙動自体は直接的なコード実行を可能にするものではありませんが、本来サービスが返すことを意図していない機密なメモリ上のデータを露出させる可能性があります。

悪用にはローカルアクセスと昇格済み権限が必要であり、ユーザーの操作も伴わないため、攻撃対象領域は大幅に限定されます。 

しかし同時に、これはより広いセキュリティ上の現実も裏付けています。すなわち、特権アカウントは依然として攻撃者にとって最重要の標的であるということです。 

限定的なメモリ情報漏えいのバグであっても、侵害後のシナリオでは価値を持ち得ます。攻撃者が認証情報を漏えいさせたり、構成情報を把握したり、ASLR のようなエクスプロイト緩和策を弱体化させたり、他の脆弱性と連鎖させて、より信頼性が高くステルス性のある攻撃を可能にするのに役立つからです。

メモリ情報漏えいリスクの低減

メモリ情報漏えいの欠陥が単独で動作することはまれですが、いったん攻撃者が権限を昇格させてしまうと、強力な支援要素になり得ます。 

リスクを減らすには、ある程度の侵害が起こり得ることを前提に、攻撃者が何を見られるか、再利用できるか、連鎖させられるかを制限することに重点を置く必要があります。 

  • Credential Guard と LSASS 保護を有効化し、侵害後に露出し得るメモリ断片の価値を下げます。
  • エクスプロイト緩和ポリシーを適用(ASR ルールや強化されたメモリ保護など)し、メモリ情報漏えいの欠陥が他のエクスプロイトと連鎖される可能性を抑えます。
  • 特権アクセス経路をセグメント化し、監視することで、管理者アカウントが堅牢化されたジャンプホストや特権アクセスワークステーション(PAW)からのみ使用されるようにします。
  • 侵害後の挙動に対する可視性を向上させ、異常なサービス間のやり取り、メモリ検査ツール、エンドポイント上のデバッグユーティリティなどを監視します。
  • ファイアウォール サービスの依存関係と構成を監査し、不必要な露出や特権コンポーネントの悪用を減らします。
  • 高い特権を持つシステム上の認証情報やシークレットを定期的にローテーションし、漏えいしたメモリデータの有用性を制限します。
  • テーブルトップ演習やパープルチーム演習を実施し、攻撃者がすでに権限を昇格させ、低深刻度の欠陥を連鎖させる侵害後シナリオに焦点を当てます。

これらの対策を組み合わせることで、組織はメモリ情報漏えい問題の実際の影響を抑え、侵害後の活動に対するレジリエンスを強化できます。

低深刻度のバグが依然として重要な理由

CVE-2025-62468 は、現代のセキュリティにおける繰り返し現れる現実を浮き彫りにしています。すなわち、成熟して広く展開されている防御コンポーネントであっても、微妙なメモリ処理の欠陥を依然として抱えている可能性があるということです。 

攻撃者が低深刻度の問題を連鎖させて効果的な侵入経路を構築するケースが増える中で、小さな弱点が実際のリスクへと累積し得ます。特に、管理権限が共有されている環境や、特権アクティビティに対する可視性が限られている環境では、その傾向が顕著です。 

この脆弱性は、パッチ適用だけに頼るのではなく、より強力な権限分離、改善されたメモリ安全性、高特権の挙動に対する継続的な監視の必要性を再確認させるものです。 

完全に安全なシステムは存在しないからこそ、ゼロトラストの原則が、露出とラテラルムーブメント(横方向移動)を最小限に抑えるのに役立ちます。

翻訳元: https://www.esecurityplanet.com/threats/windows-defender-firewall-bug-leaks-sensitive-memory/

ソース: esecurityplanet.com
#CVE-2025-62468 #Windows 11 セキュリティ #Windows Defender Firewall #Windows Server 2022 #ゼロトラストセキュリティ #ポストコンプロマイズ攻撃 #メモリセーフティ問題 #メモリ情報漏えい #特権アカウント保護 #脆弱性管理

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布