TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

Microsoftが2025年最後のパッチチューズデーで3つのゼロデイを修正

Microsoftは昨日、月次セキュリティアップデートサイクルの一部として、積極的に悪用されているゼロデイ脆弱性にパッチを適用しました。

CVE-2025-62221はWindows Cloud Files Mini Filter Driverの権限昇格(EoP)バグで、低権限ユーザーがカーネルモードのuse-after-free脆弱性を通じてシステムレベルのコード実行を達成できるようにします。 

確認されたプルーフオブコンセプト(PoC)は利用可能ではありませんが、脅威アクターが既にそれを悪用するために必要な知識を持っている可能性が高いと、Action1会長のマイク・ウォルターズは警告しました。

「この脆弱性の真の影響は、攻撃者がそれを他の弱点とチェーンする場合に現れます。フィッシング、ブラウザエクスプロイト、またはアプリケーション[リモートコード実行]RCEを通じて低権限アクセスを得た後、CVE-2025-62221を使用してシステムにエスカレートし、ホストの完全な制御を得ることができます」と彼は説明しました。

「広く展開されているドライバのカーネルレベルのエスカレーションは、サンドボックスまたはブラウザエスケープも可能にし、限定的な実行を完全なOS侵害に変えます。システム特権により、攻撃者はカーネルコンポーネントをデプロイするか、署名されたドライバを悪用して防御を回避し、永続性を維持することができます。認証情報窃取と組み合わせた場合、これはドメイン全体の侵害に急速にエスカレートする可能性があります。」

パッチチューズデーについてもっと読む:Microsoftが11月のパッチチューズデーでWindowsカーネルゼロデイを修正

Microsoftはまた、公開されているが野生ではまだ悪用されていない2つのゼロデイのパッチを発行しました。

CVE-2025-54100はPowerShellのRCE脆弱性で、Windowsツールがwebコンテンツを処理する方法に影響します。

「これにより、認証されていない攻撃者がInvoke-WebRequestなどの作成されたPowerShellコマンドを実行するユーザーのセキュリティコンテキストで任意のコードを実行できます」と、Action1の共同創設者であるAlex Vovkは説明しました。  

「問題のシンプルさとPowerShellの攻撃的ツールにおける中心的な役割を考慮すると、PoC スクリプトは、脆弱なパーサロジックをトリガーするレスポンスボディを作成できる研究者と攻撃者にとってシンプルになる可能性があります。」

3番目のゼロデイはCVE-2025-64671で、Jetbrains用GitHub Copilotのフロー脆弱性です。

「信頼できないファイルまたはMCPサーバー内の悪意のあるクロスプロンプトインジェクションを通じて、攻撃者はユーザーのターミナル自動承認設定で許可されたコマンドに追加することで、追加コマンドを実行できます」とMicrosoftは述べました。

今月他の場所では、Microsoftによってパッチされた3つの重大なCVEだけがあり、すべてRCEとして分類されています。

これらの2つ(CVE-2025-62554およびCVE-2025-62557)はMicrosoft Officeに影響を与えますが、3番目(CVE-2025-62562)はOutlookにあります。

合計すると、12月のパッチチューズデーに19個のRCE脆弱性と28個のEoP欠陥がリストされていました。

システム管理者にとって忙しい12月

システム管理者にとって、既に攻撃で広く悪用されているReact2Shell脆弱性を見つけてパッチするのに奔走している、年末は忙しいことが証明されています。

Ivantiはまた、月次アップデートサイクルの一部としてパッチをリリースしており、CVSS スコア9.6のIvanti Endpoint Manager(EPM)の保存されたXSS脆弱性(CVE-2025-10573)の修正を含みます

「プライマリEPM Webサービスへの認証されていないアクセス権を持つ攻撃者は、管理者のWebダッシュボードを悪意のあるJavaScriptで汚染するために、フェイク管理エンドポイントをEPMサーバーに参加させることができます」とRapid7の脆弱性インテリジェンスディレクター、Douglas McKeeは説明しました。

「Ivanti EPM管理者が通常の使用中に汚染されたダッシュボードインターフェイスの1つを表示すると、その受動的なユーザーインタラクションはクライアント側のJavaScript実行をトリガーし、攻撃者が管理者のセッションの制御を得ることになります。」

画像クレジット:Tada Images / Shutterstock.com

翻訳元: https://www.infosecurity-magazine.com/news/microsoft-three-zerodays-patch/

ソース: infosecurity-magazine.com
#GitHub Copilot #Ivanti #Microsoft #Patch Tuesday #PowerShell #RCE #Windows #セキュリティパッチ #ゼロデイ脆弱性 #権限昇格

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新