Microsoft Patches Critical Azure AI Face Service Vulnerability with CVSS 9.9 Score
2025/02/04 TheHackerNews — Microsoft が公表したのは、Azure AI Face Service と Microsoft アカウントに影響を及ぼし、特定の条件下で攻撃者に権限昇格を許す可能性のある、2件の深刻な脆弱性に対するパッチのリリースである。
これらの欠陥は、以下のとおりである:
- CVE-2025-21396 (CVSS:7.5) :Microsoft アカウントの権限昇格の脆弱性
- CVE-2025-21415 (CVSS:9.9):Azure AI Face Service の権限昇格の脆弱性
Microsoft は CVE-2025-21415 のアドバイザリで、「Azure AI Face Service におけるスプーフィングを介した認証バイパスにより、権限のある攻撃者に対して、ネットワーク経由で権限の昇格が許されてしまう。この欠陥を報告した匿名の研究者に対して、謝意を示す」と述べている。
その一方で、脆弱性 CVE-2025-21396 の悪用に成功した権限のない攻撃者は、ネットワーク上で権限昇格の可能性を手にする。この脆弱性を発見したのは、Sugobet という別名を持つセキュリティ研究者である。
Microsoft は、2つの脆弱性は完全に緩和されていると述べているが、CVE-2025-21415 に関しては、PoC エクスプロイト・コードの存在を認識していると付け加えている。なお、これらの欠陥については、ユーザー・サイドでの対応は不要である。
このアドバイザリは、ユーザーによるパッチのインストールや、他の措置の必要性とは関係なく、重要なクラウド・サービスの脆弱性に対する、CVE の発行により透明性を高めるという、Microsoft の継続的な取り組みの一環として開示されている。
2024年6月に Microsoft は、「業界が成熟し、クラウドベースのサービスへの移行が進むにつれて、発見/修正された深刻な脆弱性について、透明性を保つ必要がある。それらの脆弱性に関する情報をオープンに共有することで、Microsoft とパートナーは学習し、速やかな改善を図れるようになる。この共同の取り組みは、当社の重要なインフラの安全性と回復力に貢献する」と宣言している。
顔認識サービスである、Azure AI Face Service の脆弱性が FIX しました。CVE-2025-21415 に関して、文中には、PoC の存在が記載されていますが、それらしきものが見つかりませんでした。ご利用のチームは、ご注意ください。よろしければ、Azure で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.