Microsoft 2025-03 月例アップデート:7件のゼロデイを含む 57件の脆弱性に対応

Microsoft March 2025 Patch Tuesday fixes 7 zero-days, 57 flaws

2025/03/11 BleepingComputer — 今日は Microsoft の 2025年3月の Patch Tuesday だ。今月の Patch Tuesday では、 57 件の欠陥に対するセキュリティ・アップデートが提供され、その中には7つのゼロデイ脆弱性が含まれている。この Patch Tuesday では、6件の Critical 脆弱性も修正されている。それらは、すべてリモート・コード実行の脆弱性である。

それぞれの脆弱性は、以下のカテゴリに分類される:

  • 23件:権限昇格の脆弱性
  • 3件:セキュリティ機能バイパスの脆弱性
  • 23件:リモート・コード実行の脆弱性
  • 4件:情報漏えいの脆弱性
  • 1件:サービス拒否の脆弱性
  • 3件:なりすましの脆弱性

なお、上記の件数には、3月の始めに修正された Mariner の脆弱性と、Microsoft Edge の脆弱性 10件は含まれない。

今回のセキュリティ以外の更新プログラムの詳細については、Windows 11 KB5053598/KB5053602 累積更新プログラムと、Windows 10 KB5053606 更新プログラムに関する記事を参照してほしい。

現時点で悪用されているゼロデイ脆弱性6件を公開

今月の Patch Tuesday では、現時点で悪用されているゼロデイ脆弱性6件と、情報が公開されているゼロデイ脆弱性1件が修正されている。Microsoft のゼロデイ定義では、公式の修正プログラムが利用できない状態で、情報が公開されている脆弱性と、積極的に悪用されている脆弱性が対象となる。

現在、積極的に悪用されているゼロデイ脆弱性には、VHDドライブのマウントにおける、Windows NTFS のバグに関連するものがある。今日のアップデートで特定されたゼロデイ脆弱性は、以下のものとなる:

CVE-2025-24983:Windows Win32 Kernel Subsystem の特権昇格の脆弱性

この脆弱性の悪用に成功したローカルの攻撃者は、競合状態を利用することで、デバイス上で SYSTEM 権限を獲得できる可能性があると、Microsoft は述べている。同社は、この脆弱性が、実際の攻撃で悪用された方式について共有していないが、今後のレポートにおいて詳細が明らかになる可能性が高い。この脆弱性は、ESET の Filip Jurcacko により発見された。BleepingComputerは、この脆弱性に関する詳細情報を得るために、ESET に問い合わせている。

CVE-2025-24984:Windows NTFS における情報漏えいの脆弱性

この脆弱性が悪用される可能性があるのは、標的デバイスに物理的にアクセスする攻撃者が、悪意の USB ドライブを挿入するときである。この悪用に成功した攻撃者は、ヒープメモリの一部を読み取り、情報窃取の可能性を手にする。Microsoft によると、この脆弱性は、匿名で報告されたとのことだ。

CVE-2025-24985:Windows Fast FAT File System Driver の RCE の脆弱性

このリモート・コード実行 (RCE) 脆弱性は、Windows Fast FAT ドライバにおける整数オーバーフローまたはラップアラウンドにより発生する。この脆弱性の悪用に成功した攻撃者は、コード実行の可能性を手にする。Microsoft は、「攻撃者は、脆弱性のあるシステム上のローカル・ユーザーを騙して、特別に細工した VHD をマウントさせ、この脆弱性をトリガーできる」と説明している。

同社は、この脆弱性が、実際の攻撃で悪用された方式については、詳細を明らかにしていない。過去においては、悪意の VHD イメージが、フィッシング攻撃や海賊版ソフトウェアの配布サイトを通じて拡散された事例がある。同社によると、この脆弱性は匿名で報告されたという。

CVE-2025-24991:Windows NTFS における情報漏えいの脆弱性

この脆弱性の悪用は、攻撃者がユーザーを騙して、悪意の VHD ファイルをマウントさせることで達成される。悪用に成功した攻撃者は、ヒープメモリの一部を読み取り、情報窃取の可能性を手にする。Microsoft は、この脆弱性は匿名で報告されたとしている。

CVE-2025-24993:Windows NTFS の RCE 脆弱性

この脆弱性は、Windows NTFS のヒープバッファ・オーバーフローのバグに起因するものであり、悪用に成功した攻撃者は、コード実行の可能性を手にする。Microsoft のアドバイザリでは、「攻撃者は、脆弱なシステム上のローカル・ユーザーを騙して、特別に細工された VHD をマウントさせることで、この脆弱性をトリガーできる」と説明されている。同社によると、この脆弱性は匿名で報告されたという。

CVE-2025-26633:Microsoft Management Console のセキュリティ回避の脆弱性

Microsoft は、この脆弱性に関する詳細を明らかにしていない。しかし、アドバイザリから判断すると、Windows のセキュリティ機能を回避する、悪意の Microsoft Management Console (.msc) ファイルにより、コード実行へといたるバグが関与している可能性がある。

Microsoft のアドバイザリでは、「電子メールやインスタント・メッセージを利用した攻撃シナリオでは、標的ユーザーに対して細工されたファイルを送信する攻撃者が、この脆弱性の悪用を成功させる可能性を手にする。ただし、攻撃者が制御するコンテンツを、強制的にユーザーに閲覧させることはできない。そのため、攻撃者はユーザーを騙して、行動を起こさせる必要がある。たとえば、リンクのクリックによる、攻撃者のサイトへの誘導や、悪意の添付ファイルの送信などが考えられる」と説明されている。

この脆弱性の発見者は、Trend Micro の Aliakbar Zahravi である。この脆弱性の、実際の攻撃での悪用方法について、BleepingComputer は Trend Micro に問い合わせている。

情報公開によるゼロデイ脆弱性

情報の公開によるゼロデイ脆弱性は、以下のとおりである:

CVE-2025-26630:Microsoft Access の RCE 脆弱性

この脆弱性は、Microsoft Office Access の、開放後メモリ使用のバグにより引き起こされる。この脆弱性を悪用する攻撃者は、ユーザーを騙して、特別に細工された Access ファイルを開かせる必要がある。この手口は、フィッシングやソーシャル・エンジニアリング攻撃を通じて行われる可能性がある。ただし、プレビュー・ウィンドウを介して、この脆弱性を悪用することはできない。Microsoft によると、この脆弱性は Unpatched.ai により発見されたとのことだ。

他社による最近のアップデート

2025年3月において、アップデート/アドバイザリをリリースした、他ベンダーは以下のとおりである:

  • Broadcom:攻撃に悪用されていた、VMware ESXi の3つのゼロデイ脆弱性を修正。
  • Cisco:WebEx の認証情報漏洩の脆弱性と、Cisco Small Business ルーターの深刻な脆弱性を修正。
  • Edimax:IC-7100 IP カメラの脆弱性が、ボットネット・マルウェアに悪用され、デバイスが感染する事例が発生していると公表。現時点において、この脆弱性は未修正である。
  • Google:Android の Linux カーネル・ドライバにおける、ゼロデイ脆弱性を修正。この脆弱性は、デバイスのロック解除に悪用されていた。
  • Ivanti:Secure Access Client (SAC)/Neurons for MDM 向けのセキュリティ・アップデートをリリース。
  • Fortinet:FortiManager/FortiOS/FortiAnalyzer/FortiSandbox などの複数の製品に対するセキュリティ・アップデートをリリース。
  • Paragon:BioNTdrv.sys ドライバー脆弱性が、ランサムウェア攻撃 (BYOVD 攻撃) に悪用されていたこと公表。
  • SAP:複数の製品向けのセキュリティ・アップデートをリリース。

March 2025 Patch Tuesday のフルリストは、ココで参照できる

今月の Patch Tuesday で修正されたゼロデイ脆弱性ですが、そのうちの6件は、同日の CISAの KEV にも登録されていました。他社による最近のアップデートでは、VMware の脆弱性が注目を集めているようであり、このブログでも多くの方々に読んで頂きました。それと、気になるのは IC-7100 IP カメラの脆弱性です。2025/03/06 の「Akira ランサムウェアの検出回避術が判明:ネットワーク上の Web カメラを使って EDR をバイパス」も、同じところに焦点を当てる記事ですが、この2つが紐づくのかどうか、そのあたりは判明していません。よろしければ、月例 + Microsoft で検索も、ご参照ください。