Microsoft 2025-05 月例アップデート:5件のゼロデイを含む 72件の脆弱性に対応

Microsoft May 2025 Patch Tuesday fixes 5 exploited zero-days, 72 flaws

2025/05/13 BleepingComputer — 今日は Microsoft の May 2025 Patch Tuesday の日だ。このパッチでは、72件の脆弱性に対するセキュリティ・アップデートが提供されるが、その中には、現時点で悪用されている5件の脆弱性、すでに公開されている2件のゼロデイ脆弱性が含まれるす。なお、今回の月例パッチでは、深刻度 Critical の脆弱性が6件も修正されている。そのうち5件はリモートコード実行の脆弱性であり、もう1件は情報漏洩の脆弱性である。

それぞれの脆弱性カテゴリごとの、バグ件数は以下の通りである:

  • 17件:権限昇格の脆弱性
  • 2件:セキュリティ機能バイパスの脆弱性
  • 28件:リモートコード実行の脆弱性
  • 15件:情報漏洩の脆弱性
  • 7件:サービス拒否の脆弱性
  • 2件:スプーフィングの脆弱性

なお、上記の件数には、今月の初めに修正された Azure/Dataverse/Mariner/Microsoft Edge の脆弱性は含まれない。

また、今日にリリースされたセキュリティ関連以外の更新プログラムの詳細については、Windows 11 KB5058411/KB5058405 累積更新プログラム、および、Windows 10 KB5058379 更新プログラムに関する記事を参照してほしい。

現時点で悪用されているゼロデイ脆弱性5件

今月の月例パッチでは、現時点で悪用されているゼロデイ脆弱性5件が修正されている。Microsoft のゼロデイ脆弱性の定義は、すでに情報が公開されている脆弱性と、公式の修正プログラムが提供されない状況で悪用されている脆弱性である。

今日の更新プログラムで修正された、現時点で悪用されているゼロデイ脆弱性は以下の通りである:

CVE-2025-30400:Microsoft DWM コアライブラリの権限昇格の脆弱性

攻撃者に SYSTEM 権限を付与する、権限昇格の脆弱性が修正された。アドバイザリには、「Windows DWM の解放後メモリ使用により、権限を付与された攻撃者が、ローカルで権限昇格を達成する」と記されている。この脆弱性は、Microsoft Threat Intelligence Center により発見されたと、Microsoft は述べている。

CVE-2025-32701:Windows Common Log File System ドライバーにおける権限昇格の脆弱性

攻撃者に SYSTEM 権限を付与する、権限昇格の脆弱性が修正された。アドバイザリには、「Windows Common Log File System ドライバーの解放後メモリ使用により、権限を付与された攻撃者が、ローカルで権限昇格を達成する可能性がある」と記されている。この脆弱性は、Microsoft Threat Intelligence Center により発見されたと、Microsoft は述べている。

CVE-2025-32706:Windows Common Log File System ドライバーにおける権限昇格の脆弱性

攻撃者に SYSTEM 権限を付与する、権限昇格の脆弱性が修正された。この脆弱性は、Google Threat Intelligence Group の Benoit Sevens と CrowdStrike Advanced Research Team により発見された。

CVE-2025-32709:WinSock 用 Windows 補助機能ドライバにおける権限昇格の脆弱性

攻撃者にSYSTEM権限を付与する、権限昇格の脆弱性が修正された。アドバイザリには、「WinSock 用 Windows 補助機能ドライバにおける、解放後メモリ使用 (use-after-free) の脆弱性により、権限のある攻撃者が、ローカルでの権限昇格の可能性を得る」と記されている。この脆弱性は、匿名の研究者により発見された。

CVE-2025-30397:Scripting Engine におけるメモリ破損の脆弱性

Microsoft Edge/Internet Explorer を介して悪用される可能性のある、リモート・コード実行の脆弱性が修正された。

アドバイザリには、「Microsoft Scripting Engine において、タイプ・コンヒュージョンを悪用してリソースにアクセスすると、権限のない攻撃者であっても、ネットワーク経由でのコード実行の可能性を手にする」と記されている。

Microsoftによると、認証済みのユーザーを騙して、Edge/Internet Explorer上の特別に細工されたリンクをクリックさせる、未認証の攻撃者は、リモート・コード実行の可能性を得るという。この脆弱性は、Microsoft Threat Intelligence Center により発見されたと、Microsoft は述べている。

ーーーーー

Microsoft は、一連の脆弱性について、攻撃で悪用された方法の詳細を明かしていない。すでに情報が公開されているゼロデイ脆弱性は、以下のとおりである。

CVE-2025-26685:Microsoft Defender for Identity のなりすまし脆弱性

未認証の攻撃者に対して、別アカウントへのなりすましを許す、Microsoft Defenderの脆弱性が修正された。アドバイザリには、「Microsoft Defender for Identity の不適切な認証により、隣接ネットワーク上で、攻撃者がなりすましを達成する可能性が生じる」と記されている。LANアクセスを持つ未認証の攻撃者により、この脆弱性が悪用される可能性がある。この脆弱性は、NetSPI の Joshua Murrell により発見されたと、Microsoft は述べている。

CVE-2025-32702: Visual Studio のリモートコード実行脆弱性

未認証の攻撃者により悪用される可能性のある、Visual Studio のリモートコード実行脆弱性が修正された。アドバイザリには、「Visual Studio のコマンドで使用される、特殊要素が適切に無効化されていないため、コマンド・インジェクションが生じる。それにより、権限のない攻撃者であっても、ローカルでのコード実行の可能性を得る」と記されている。この脆弱性の報告者について、Microsoft は明らかにしていない。

他社からの最近のアップデート

2025年5月に、アップデート/アドバイザリをリリースした他ベンダーは、以下のとおりである:

  • Apple:iOS/iPadOS/macOS 向けのセキュリティ・アップデートをリリース。
  • Cisco:無線 LAN コントローラ向けの IOS XE おける、深刻度の高い脆弱性を修正。
  • Fortinet:FortiVoice への攻撃で悪用されたゼロデイ脆弱性などにも対応する、多数の製品向けのセキュリティ・アップデートをリリース。
  • Google:2025年5月の Android 向けセキュリティ・アップデートをリリース。ゼロクリックによる FreeType 2 コード実行の脆弱性が修正された。
  • Intel:特権メモリからデータを漏洩させる “Branch Privilege Injection” と呼ばれる脆弱性に対処する、CPU マイクロ・コードをリリース。
  • SAP:深刻なリモートコード実行の脆弱性への対処を含む、複数の製品向けのセキュリティ・アップデートをリリース。
  • SonicWall:攻撃で悪用されたゼロデイ脆弱性を修正。

May 2025 Patch Tuesday のフルリストは、ココで参照できる。

2025年5月の Patch Tuesday では、5件のゼロデイを含む、72 件の脆弱性が FIX しました。また、先週にも Microsoft 関連の記事をいくつか投稿しています。よろしければ、以下の関連記事も、Microsoft で検索と併せてご参照下さい。

2025/05/09:Microsoft Entra ID を狙うクラウド・キャンペーン
2025/05/09:Microsoft Azure/Power Apps の4つの脆弱性
2025/05/07:Microsoft CLFS :ランサムウェアでの悪用を観測
2025/05/06:Windows Deployment にゼロクリック脆弱性