Windows Hyper-V のゼロデイ脆弱性 CVE-2025-21333 などが FIX:実環境での悪用を確認

Microsoft fixes actively exploited Windows Hyper-V zero-day flaws

2025/01/15 HelpNetSecurity — Microsoft は、January 2025 Patch Tuesday において、様々な製品に影響をおよぼす 157件の脆弱性に対処した。そのうちの3件 (Hyper-V) の脆弱性は、積極的な悪用が確認されている。悪用が確認された3つのゼロデイ脆弱性は、CVE-2025-21333 (バッファ・オーバーフローの脆弱性) および、 CVE-2025-21334CVE-2025-21335 (解放後メモリ使用の欠陥) である。

Hyper-V のゼロデイ脆弱性:悪用を確認

これらの脆弱性は、仮想マシンとホスト OS 間の通信を管理する、Windows Hyper-V の NT カーネルのコンポーネントに影響を与えるものだ。一連の脆弱性の悪用に成功した攻撃者は、侵害した Windows/Windows Server マシン上で、特権を SYSTEM へと昇格させる可能性を得る。

Tenable の Senior Staff Research Engineer である Satnam Narang は、「Patch Tuesday のゼロデイ脆弱性であり、また、悪用される特権昇格の脆弱性は、数多く確認されている。攻撃者たちは、システムへのイニシャル・アクセスを得るための手段を数多く持っているが、彼らの課題となっているのは、そのアクセスを得た後の権限を昇格である」と述べている。

これらの脆弱性の、実環境における悪用に関する情報は、現時点では公表されていない。

しかし、Action1 の社長である Mike Walters は、「Hyper-V に依存している組織は、たとえばデータ・センター/クラウド・プロバイダ/企業 IT 環境/開発プラットフォームなどに関連する組織は、リスクにさらされているはずだ。これらの脆弱性を悪用する低権限の攻撃者は、SYSTEM 権限でコードを実行し、ホスト・システムを制御する可能性を手にする」と指摘している。

その他の留意すべき脆弱性

January 2025 Patch Tuesday では、データベース管理システムである Microsoft Access に影響を及ぼす、3つの脆弱性  CVE-2025-21186CVE-2025-21366CVE-2025-21395 も対処されている。これらの脆弱性は、リモート・コード実行につながる可能性があり、悪意の拡張子を持つファイルを開くなどの、ユーザーの操作が必要とされる。ただし、電子メールを介して悪意のファイルが送信される場合には、提供されたアップデートに攻撃がブロックされる。

これらの脆弱性の悪用可能性は低いと評価されている。また、修正が施されたのは、お以下の製品となる:Microsoft Access 2016/Microsoft Office Long Term Service Channel (latest on-premises editions)/Microsoft Office 2019/Microsoft 365 Apps for Enterprise

Narang は、「これらの脆弱性の興味深い点は、Unpatched.ai という AI にうより、それらが発見されたと報告されているところだ。この AI プラットフォームは、2024年12月の Patch Tuesday でも、脆弱性 CVE-2024-49142 を発見したとされている。最近において、AI を使用した脆弱性の自動検出が注目を集めており、Microsoft 製品のバグ発見に、Unpatched.ai が貢献したことは注目に値する。2025年には、この種のサービスが多数登場するかもしれない」と、Help Net Security に語っている。

また、January 2025 Patch Tuesday で対処されたうち、以下の脆弱性は「悪用される可能性が高い」とされている:

  • Windows API 関数の MapUrlToZone におけるセキュリティ・バイパスの脆弱性
  • Office/Microsoft Office Excel の RCE 脆弱性
  • Windows OLE の RCE 脆弱性 CVE-2025-21298

これらの脆弱性への対処について、「緩和策として推奨されるのは、Outlook のコンフィグを設定し、すべて標準メールをプレーン・テキストとして読み込むようにすることだ。しかし、このような設定に、反発するユーザーも多いはずだ。最善策は、このパッチを迅速にテストし展開することである」と、Trend Micro の Zero Day Initiative の Head of Threat Awareness である Dustin Childs は指摘する。

もう1つの特筆すべき脆弱性は、Windows のディスク全体の暗号化機能である、 Bitlocker の脆弱性 CVE-2025-21210 だ。この脆弱性について、Microsoft は悪用される可能性が高いと評価しており、「この脆弱性が悪用されると、暗号化されていない休止状態のイメージが平文で開示される可能性がある」と述べている。

Immersive Labs の Senior Director Threat Research である Kevin Breen は、「ノート PC がスリープ状態になる際に作成されるハイバネーション・イメージには、デバイスの電源が切れた時点で RAM に保存されている内容が取り込まれる。その RAM には、オープン文書やブラウザ・セッションに存在する、機密データ (パスワード/認証情報/PII など) が含まれる可能性がある。それらの情報は全て、ハイバネーション・ファイルから無料ツールで復元できるため、重大な影響を及ぼす可能性がある」と、Help Net Security に語った。

さらに Kevin Breen は、「もう1つ懸念されるのは、Bitlocker キーが RAM から復元され、ハイバネーション・ファイルに保存される可能性がある点だ。この場合も無料ツールにより、ハイバネーション・ファイルから Bitlocker キーを復元される」と述べている。

しかし、この脆弱性を攻撃者が悪用する前提としては、被害者のマシンのハードディスクに対して、物理的に繰り返してアクセスすることが条件となる。

ノート PC を物理的に盗み出した窃盗犯が、この脆弱性を悪用したいと思う可能性はあるが、悪用が達成される可能性は低い。なぜなら、攻撃の複雑性が高く、多くの場合において、’PC の窃盗犯の狙いは他のものであるからだ。スパイや暗号通貨の窃盗犯などの、特定の著名な標的を狙う攻撃者たちは、この脆弱性に目をつけるかもしれない。しかし、機密データを入手するには、もっと簡単な方法があるはずだ。

私の考えでは、この脆弱性を最も有効に活用できるのは法執行機関だろう。ただし、これを引き起こす方法を見つけられる場合に限る。

しかし、Breen が忠告するように、もし機密データが入った PC を持ち歩くことが多い場合には、この脆弱性 CVE-2025-21210 の修正は最優先に行うべきである。

文中も言及されている January 2025 Patch Tuesday については、2025/01/14 の「Microsoft 2025-01 月例アップデート:8件のゼロデイを含む 159件の脆弱性に対応」で、ご確認ください。その時に指摘されていた、3件のゼロデイが、今日の記事で詳述されています。よろしければ、Microsoft 月例 で検索も、ご参照ください。