Microsoft 2025-01 月例アップデート:8件のゼロデイを含む 159件の脆弱性に対応

Microsoft January 2025 Patch Tuesday fixes 8 zero-days, 159 flaws

2025/01/14 BleepingComputer — 今日は、Microsoft の 2025年1月 Patch Tuesday の日だ。今月の Patch Tuesday としては、159 件の脆弱性に対するセキュリティ更新プログラムが提供されている。その中には9件のゼロデイ脆弱性が含まれており、そのうちの3件は、積極的な悪用が確認されているものだ。この Patch Tuesday で修正された脆弱性には、情報漏えい/権限昇格/リモート・コード実行などの、12 件の Critical が含まれる。

それぞれの脆弱性カテゴリごとの、バグの件数は以下の通りである:

  • 40 件:権限昇格の脆弱性
  • 14 件:セキュリティ機能バイパスの脆弱性
  • 58 件:リモート コード実行の脆弱性
  • 24 件:情報漏えいの脆弱性
  • 20 件:サービス拒否の脆弱性
  • 5 件:なりすましの脆弱性

なお、今回のリリースにおける、セキュリティ以外の更新プログラムの詳細については、Windows 11 KB5050009/KB5050021 累積更新プログラムと、Windows 10 KB5048652 累積更新プログラムに関する記事を参照してほしい。

アクティブに悪用されている3件のゼロデイ脆弱性を公開

今月の Patch Tuesday では、アクティブに悪用されている3件のゼロデイ脆弱性と、公開されている5件のゼロデイ脆弱性が修正されている。

Microsoft のゼロデイの定義は、公式の修正プログラムが利用できない状態で、公開されている脆弱性と、アクティブに悪用されている脆弱性となる。

今日の更新プログラムに含まれる、アクティブに悪用されているゼロデイ脆弱性は以下の通りである:

Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability:CVE-2025-21333CVE-2025-21334CVE-2025-21335

Microsoft が修正したのは、Windows デバイスの SYSTEM 権限を取得する攻撃で悪用された、Windows Hyper-V における3件の権限昇格の脆弱性である。

これらの脆弱性が、実際の攻撃で悪用された方法について、情報は公開されていない。また、その全てが、匿名で公開されている。

これらの3件の脆弱性の CVE は連続しており、また、同じ機能に対するものである。したがって、同じ攻撃において悪用され、発見された可能性がある。

公開されているゼロデイ脆弱性は、以下のとおりである:

CVE-2025-21275: Windows アプリ・パッケージ・インストーラーの権限昇格の脆弱性

SYSTEM 権限につながる可能性のある、Windows アプリ・パッケージ・インストーラーの権限昇格の脆弱性が修正された。Microsoft のアドバイザリには、「この脆弱性を悪用する攻撃者には、SYSTEM 権限を取得する可能性がある」と記されている。なお、この脆弱性は、匿名で Microsoft に提出された。

CVE-2025-21308:Windows テーマにおけるスプーフィングの脆弱性

特別に細工されたテーマ・ファイルを、Windows エクスプローラーで表示するだけで悪用される可能性がある、Windows テーマの脆弱性が修正された。

Microsoft のアドバイザリには、「電子メールやインスタント・メッセンジャーなどでユーザーを欺く攻撃者は、脆弱なシステム上に悪意のファイルをロードさせ、その後に、特別に細工されたファイルを操作するよう、ユーザーを説得する必要がある。ただし、悪意のファイルをクリックやオープンは不要である」と記されている。

この脆弱性は、ACROS Security の 0patch を使用する、Blaz Satler により発見されました。この脆弱性は、以前に CVE-2024-38030 として追跡されていた、欠陥に対する修正を迂回するものである。Microsoft による修正が行われる以前の、2024年10月の時点で、この脆弱性に対するマイクロパッチが、0patch によりリリースされている。

Windows エクスプローラーでテーマ・ファイルを表示し、ネットワーク・ファイル・パスを指定する BrandImage/Wallpaper オプションが使用されるときに、この脆弱性を悪用する攻撃者により、Windows にログインしているユーザーの NTLM 資格情報などが、リモート・ホストへ向けて自動的に送信されてしまう。

これらの NTLM ハッシュは、プレーン・テキストのパスワードを取得するために解読される。また、pass-the-hash 攻撃で使用される場合もある。

Microsoft によると、NTLM が無効化されている場合もしくは、”Restrict NTLM: Outgoing NTLM traffic to remote servers” ポリシーが有効化されている場合に、この脆弱性は軽減されるという。

CVE-2025-21186CVE-2025-21366CVE-2025-21395Microsoft Access におけるリモート・コード実行の脆弱性

特別に細工された Microsoft Access ドキュメントを開く際に悪用される、3つのリモート・コード実行の脆弱性が修正された。以下の Microsoft Access ドキュメントが電子メールで送信された場合に、アクセスをブロックすることで、この問題は軽減されている。

  • accdb
  • accde
  • accdw
  • accdt
  • accda
  • accdr
  • accdu

興味深いことに、AI に支援される、脆弱性検出プラットフォーム Unpatched.ai が、この3件の脆弱性を発見している。

他ベンダーによる最近のアップデート

2025年1月にアップデート/アドバイザリをリリースした、他のベンダーは以下のとおりである:

  • Adobe:Photoshop/Substance3D Stager/Designer/Illustrator for iPad/Animate のセキュリティ・アップデートをリリース。
  • Cisco:Cisco ThousandEyes Endpoint Agent/Cisco Crosswork Network Controller などの、製品群のセキュリティ・アップデートをリリース。
  • Ivanti:カスタム・マルウェア展開の攻撃で悪用された Connect Secure のゼロデイ脆弱性に対するセキュリティ・アップデートをリリース。
  • Fortinet:2024年11 月以降の攻撃で悪用された、FortiOS/FortiProxy の認証バイパス・ゼロデイ脆弱性に対するセキュリティ・アップデートをリリース。
  • GitHub:2件の Git 脆弱性に対するセキュリティ・アップデートをリリース。
  • Moxa:産業用ネットワークおよび通信ネットワーク・デバイスにおける、深刻な脆弱性に対するセキュリティ・アップデートをリリース。
  • ProjectDiscovery:悪意のテンプレートにより署名検証をバイパスする、Nuclei の欠陥に対するセキュリティ・アップデートをリリース。
  • SAP:SAP NetWeaver の2件の脆弱性などの、複数の製品に対するセキュリティ・アップデートをリリース。
  • SonicWall:SSL VPN/SSH 管理に存在する、悪用の可能性が高い、認証バイパスの脆弱性に対するパッチをリリース。
  • Zyxel:Web 管理インターフェースの不適切な権限管理の脆弱性に対して、セキュリティ・アップデートをリリース。

January 2025 Patch Tuesday のフルリストは、ココで参照できる

2025年1月 Patch Tuesday で、159 件の脆弱性が FIX しました。このところ、二桁台が多く、なんとなく安心していたキュレーション・チームの皆さんは、たいへんな一日を過ごしたようです。なお、Windows Hyper-V の脆弱性 CVE-2025-21333/CVE-2025-21334/CVE-2025-21335 に関しては、続報がでているようなので、なるべく早く訳すようにします。よろしければ、Microsoft + 月例 で検索を、ご参照ください。