2025/02/20 SecurityOnline — Microsoft が発表したのは、Power Pages プラットフォームに存在する、ゼロデイ脆弱性 CVE-2025-24989 (CVSS:8.2) への対処である。この脆弱性の悪用に成功した攻撃者は、ユーザー登録制御メカニズムをバイパスし、ネットワーク上での権限昇格の可能性を得る。この欠陥の悪用により、Power Pages 上に構築されたビジネス Web サイトにセキュリティ侵害のリスクが生じ、機密コンテンツや管理機能への不正なアクセスが許可される事態になり得る。
Power Pages とは、エンタープライズ・グレードのセキュリティを備えた、外部向け Web サイトを迅速に作成/ホストするために設計された、ローコードの SaaS プラットフォームである。そして、Power Pages で発見された不適切なアクセス制御の脆弱性により、攻撃者はユーザー登録制御をバイパスし、許可なく権限を昇格していった。
Microsoft は、この問題が完全に軽減されたことを確認しているが、このエクスプロイトによりビジネス・ポータルが不正に制御され、データの流出/不正な変更/アカウント乗っ取りなどの、リスクが生じる可能性がある。
すでに Microsoft は、脆弱性を解決するために行動し、影響を受ける全ユーザーに対して通知を行っている。登録制御のバイパスを修正するための、セキュリティ更新プログラムが実装され、影響を受ける組織に対しては、潜在的な悪用を評価するための修復手順が提供されている。
Microsoft によると、「この脆弱性は、すでに緩和されており、影響を受ける全ユーザーに通知されているま。通知が届かないユーザーは、この脆弱性の影響を受けない」と述べている。
Microsoft が Power Pages ユーザーに対して強く推奨するのは、サイトにおける不正アクセスの兆候の有無を確認し、Microsoft が推奨する追加のクリーンアップ手順を実施することだ。
Microsoft Power Pages のゼロデイ脆弱性 CVE-2025-24989 が FIX しました。この脆弱性は、すでに悪用が確認されており、2025/02/21 に CISA KEV カタログに登録されています。ご利用のチームは、ご注意ください。なお、関連する直近のトピックは、2024/11/14 の「Microsoft Power Pages のミスコンフィグ:深刻なデータ漏洩が発生している」となります。よろしければ、Microsoft で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.