2025/04/18 SecurityAffairs — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、Apple 製品および Microsoft Windows NTLM の脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。今回、KEV に追加されたのは、以下の3件の脆弱性である。
- CVE-2025-31200:Apple 製品群におけるメモリ破損の脆弱性
- CVE-2025-31201:Apple 製品群の任意の読取/書込の脆弱性
- CVE-2025-24054:Windows の NTLM ハッシュ漏洩の脆弱性
CVE-2025-31200/CVE-2025-31201:Apple iOS/iPadOS/macOS に影響を及ぼす脆弱性。すでに Apple は、2025年4月16日にリリースした緊急セキュリティ・アップデートで、これらの脆弱性に対処している。少数の iOS ユーザーを標的とする、きわめて巧妙な攻撃において、これらの脆弱性が実際に悪用されていたことを、同社は認めている。
それぞれの脆弱性の詳細は以下の通りだ:
- CVE-2025-31200 (CoreAudio):メモリ破損を起こし得る脆弱性だが、すでに Apple は、境界チェックの強化により対処している。悪意を持って作成されたメディア・ファイル内の音声ストリームを処理する際に、悪意のコード実行の可能性が生じる。特定の iOS ユーザーを標的とする、きわめて巧妙な攻撃で、この脆弱性が悪用された可能性があるという報告を、Apple は認識している。同社は、この欠陥を報告した Google の TAG (Threat Analysis Group) に謝意を示している。
- CVE-2025-31201 (RPAC):読み取り/書き込みアクセス権限を持つ攻撃者が、iOS 上でポインター認証を回避し得る脆弱性。この脆弱性についても、きわめて標的を絞り込んだ巧妙な攻撃で悪用された可能性があると、Apple は認めている。すでに同社は、脆弱なコード自体を削除することで、この脆弱性を修正している。
これらの脆弱性に対するセキュリティ・パッチは、以下のデバイス向けに提供されている:
- iPhone XS 以降
- iPad Pro 13インチ/13.9インチ (第3世代以降) /11インチ (第1世代以降)
- iPad Air (第3世代以降)
- iPad (第7世代以降)
- iPad mini (第5世代以降)
いつものとおり Apple は、攻撃に関する技術的な詳細を公表していない。しかし、iOS ユーザーに対する限定的かつ標的型の攻撃という性質から、商用の監視ベンダーや国家支援の攻撃者が、これらの脆弱性を悪用した可能性が高いと考えられる。
- CVE-2025-24054 (NTLM):CISA KEV カタログに追加された3つ目の脆弱性 CVE-2025-24054 (CVSS:6.5) は、Windows の New Technology LAN Manager (NTLM) における、ハッシュ情報漏洩を引き起こす、なりすましの脆弱性である。この脆弱性は、3月の Microsoft Patch Tuesday において、すでに修正されている。
NTLM とは、Microsoft により開発された認証プロトコル・スイートであり、Windows 環境でユーザーとコンピュータを認証するためのものである。
Microsoft は、「悪意のファイルに対して、ユーザーが選択 (シングル・クリック) や検査 (右クリック) を行っただけでも、さらには、ファイルの開封や実行以外の操作を行っただけでも、この脆弱性が引き起こされる可能性がある」と 警告している。
当初、Microsoft は、この脆弱性 CVE-2025-24054 について、”悪用の可能性は低い” と評価していた。しかし Check Point の研究者たちは、3月19日以降において、この脆弱性が実際に悪用されていると報告している。この脆弱性を悪用する攻撃者たちは、NTLM ハッシュやユーザーのパスワードを漏洩させていたという。
Check Point は、「脆弱性 CVE-2025-24054 は、2025年3月19日以降において、実環境での悪用が確認されている。この脆弱性の悪用に成功した攻撃者は、NTLM ハッシュやユーザーのパスワードを漏洩させ、システムを侵害する可能性を手にする。 この脆弱性に対する Microsoft のパッチは、2025年3月11日にリリースされている。つまり攻撃者たちは、1週間以上をかけて、脆弱性 CVE-2025-24054 エクスプロイトを開発/展開し、その後に積極的に悪用されるようになった」と詳述している。
さらに Check Point は、「2025年3月20日から21日頃にかけて、ポーランドとルーマニアの政府機関および民間機関を標的とするキャンペーンが発生している。攻撃者は、CVE-2025-24054 などの複数の既知の脆弱性を悪用するアーカイブを、Dropbox リンクを取り込んだマルスパムを使って配布していた。それにより、NTLMv2-SSP ハッシュの収集を試行したとみられる」と警告している。
ーーー
拘束力のある運用指令 (BOD) 22-01:米国政府の FCEB 機関は、カタログに記載された欠陥の悪用からネットワークを保護するために、特定された脆弱性に対して、定められた期間で対処する必要がある。CISA は連邦政府機関に対して、2025年5 月8日までに、この脆弱性を修正するよう命じている。
さらに、専門家たちは、民間組織においても、このカタログを確認し、インフラの脆弱性に対処することを推奨している。
Apple の2件の脆弱性と、Windows の1件の脆弱性が、CISA KEV に登録されました。それぞれに関する記事は、2025/04/16 の「Apple のゼロデイ脆弱性 CVE-2025-31200/31201 が FIX:サイバースパイによる悪用を確認」と、2025/04/16 の「Windows の脆弱性 CVE-2025-24054:NTLM ハッシュ漏洩の大規模キャンペーンが発覚」です。よろしければ、CISA KEV ページと併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.