Microsoft 2025-02 月例アップデート:4件のゼロデイを含む 55件の脆弱性に対応

Microsoft February 2025 Patch Tuesday fixes 4 zero-days, 55 flaws

2025/02/11 BleepingComputer — 今日は Microsoft の 2025年2月の Patch Tuesday だ。今月の Patch Tuesday では、 55 件の欠陥に対するセキュリティ・アップデートが提供され、その中には4つのゼロデイ脆弱性が含まれている。なお、そのうちの2件は、現実の攻撃で積極的に悪用されている。この Patch Tuesday では、3件の Critical 脆弱性も修正されている。それらは、すべてリモート・コード実行の脆弱性である。

それぞれの脆弱性は、以下のカテゴリに分類される:

  • 19件:権限昇格の脆弱性
  • 2件:セキュリティ機能バイパスの脆弱性
  • 22件:リモート・コード実行の脆弱性
  • 1件:情報漏えいの脆弱性
  • 9件:サービス拒否の脆弱性
  • 3件:なりすましの脆弱性

なお、上記の件数には、Microsoft Dynamics 365 Sales の深刻な権限昇格の脆弱性と、2月6日に修正された Microsoft Edge の脆弱性 10件は含まれない。

今回のセキュリティ以外の更新プログラムの詳細については、Windows 11 KB5051987/KB5051989累積更新プログラムと、Windows 10 KB5051974 更新プログラムに関する記事を参照してほしい。

現時点で悪用されているゼロデイ脆弱性2件を公開

今月の Patch Tuesday では、現時点で悪用されているゼロデイ脆弱性2件と、情報が公開されているゼロデイ脆弱性2件が修正されている。Microsoft のゼロデイ脆弱性の定義は、公式の修正プログラムが利用できない状態で、情報が公開されている脆弱性と、積極的に悪用されている脆弱性でなる。

今日のアップデートで特定されたゼロデイ脆弱性は、以下の積極的に悪用されている脆弱性である:

CVE-2025-21391: Windows ストレージの権限昇格の脆弱性

Microsoft が修正した脆弱性は、積極的に悪用されている権限昇格の欠陥であり、ファイル削除に悪用できるものである。Microsoft のアドバイザリには、「攻撃者は、システム上の標的とするファイルだけを削除できる。この脆弱性により機密情報が漏洩することはないが、サービスの利用に不可欠なデータを取り込んでいるファイルが、攻撃者により削除される可能性がある」と記載されている。この脆弱性について、攻撃での悪用の方式や、それを開示した組織などについては、なんの情報も公開されていない。

CVE-2025-21418:WinSock の Windows Ancillary Function Driver の権限昇格の脆弱性

積極的に悪用されている、2番目の脆弱性の悪用に成功した脅威アクターは、Windows の SYSTEM 権限を取得できる。実際の攻撃での悪用の方式は不明であり、この脆弱性は匿名で公開されたと、Microsoft は述べている。

情報公開によるゼロデイ脆弱性

情報の公開によるゼロデイ脆弱性は、以下のとおりである:

CVE-2025-21194:Microsoft Surface のセキュリティ・バイパスの脆弱性

Microsoft によると、この脆弱性はハイパーバイザーの欠陥に起因し、攻撃者に対して UEFI のバイパスとセキュア・カーネルの侵害を許す可能性があるという。

Microsoft のアドバイザリには、「このハイパーバイザーの脆弱性は、Unified Extensible Firmware Interface (UEFI) ホスト・マシン内の、仮想マシンに関連するものだ。特定のハードウェアでは、UEFI バイパスの可能性が生じ、ハイパーバイザーとセキュア カーネルの侵害にいたる恐れがある」と記されている。

Microsoft によると、この脆弱性を発見したのは、Quarkslab の Francisco Falcon と Ivan Arce だとのことだ。この欠陥について、Microsoft は詳細を明らかにしていないが、先月に Quarkslab が公開した PixieFail の欠陥に関連している可能性がある。PixieFail とは、Microsoft Surface とハイパーバイザー製品で使用されている、Tianocore EDK II の IPv6 ネットワーク・プロトコル・スタックに影響を及ぼす、9 つの脆弱性のセットのことである。

CVE-2025-21377:NTLM ハッシュ公開にいたるスプーフィングの脆弱性

Microsoft が公開したのは、Windows ユーザーが所有する NTLM ハッシュを漏洩し、それを悪用するリモート攻撃者に対して、対象となるユーザーとしてのログインを許す脆弱性を修正した。

Microsoft のアドバイザリには、「悪意のファイルに対してユーザーが、選択 (single-click) および検査 (right-click) や、ファイル・オープンなどのアクションとなる最小限の操作を行うことで、この脆弱性が引き起こされる可能性がある」と記されている。

Microsoft は、この脆弱性について詳細を公開していないが、別の NTLM ハッシュ漏洩の脆弱性のように機能し、ファイル・オープン以外の操作であっても、Windows がリモート共有される可能性があると思われる。その際、NTLM ネゴシエーションにより、ユーザーの NTLM ハッシュがリモート・サーバに渡され、それが攻撃者により収集されていく。これらの NTLM ハッシュが解読されると、プレーン・テキストのパスワードが流出し、パスザハッシュ攻撃での悪用の可能性が生じる。

Microsoft によると、この脆弱性は、キャセイパシフィック航空の Owen Cheung/Ivan Sheung/Vincent Yau と、Securify B.V. の Yorick Koster、ACROS Security の Blaz Satler により発見されたとのことだ。

他社による最近のアップデート

2025年2月において、アップデート/アドバイザリをリリースした、他ベンダーは以下のとおりである:

  • Adobe:Photoshop/Substance3D/Illustrator/Animate などの製品群に対するセキュリティ・アップデートをリリース。
  • AMD:悪意の CPU マイクロコード・ロードの脆弱性に対処する、ファームウェア・アップデートと緩和策をリリース。
  • Apple:きわめて洗練された攻撃で悪用された、ゼロデイ脆弱性に対するセキュリティ・アップデートをリリース。
  • Cisco:IOS/ISE/NX-OS/Identity Services などの製品群に対する、セキュリティ・アップデートをリリース。
  • Google:Android カーネルの USB ビデオ・クラス・ドライバーに存在する、積極的に悪用されているゼロデイ脆弱性を修正。
  • Ivanti:Connect Secure/Neurons for MDM/Cloud Service Application に対する、セキュリティ・アップデートをリリース。
  • Fortinet:FortiManager/FortiOS/FortiAnalyzer/FortiSwitchManager などの製品群に対する、セキュリティ・アップデートをリリース。
  • Netgear:複数の WiFi ルーター・モデルに影響を及ぼす、2件の深刻な脆弱性を修正。
  • SAP:複数の製品に対する、セキュリティ・アップデートをリリース。

February 2025 Patch Tuesday のフルリストは、ココで参照できる

今月の Patch Tuesday は、全体の件数こそ少ないですが、4件のゼロデイがあり、そのうちの2件は悪用されているとのことで、この後に続報が出てくると思われます。それらも、追跡してきたいと思っています。よろしければ、Microsoft + 月例 で検索も、ご利用ください。