Microsoft Alerts on AD CS Flaw Enabling Remote Denial-of-Service Attacks
2025/05/14 gbhackers — Microsoft が公開したのは、Active Directory Certificate Services (AD CS) で新たに確認された、脆弱性 CVE-2025-29968 に関するセキュリティ・アドバイザリである。この脆弱性を悪用する認証済の攻撃者は、ネットワーク上の重要な証明書管理操作を妨害する可能性を手にする。この脆弱性は、不適切な入力検証 (CWE-20) に起因し、CVSS v3.1 スコア は 6.5 で Important と評価され、AD CS サーバに対するサービス拒否 (DoS) 攻撃を引き起こすとされる。現時点において、悪用事例や公開情報は報告されていないが、組織に対して強く推奨されるのは、パッチ適用を優先的に実施して、サービス中断の可能性を軽減することである。
企業における ID 管理の基盤となる Active Directory 証明書サービスは、Windows 環境での証明書の発行/更新/失効を処理するものだ。
この脆弱性は、細工されたクライアント・リクエストを、AD CS が適切に検証できない場合に発生し、不正な入力による未処理の例外がトリガーされる可能性がある。この脆弱性を悪用する攻撃者は、Certificate Authority Web Enrollment などの重要な AD CS プロセスをクラッシュさせるため、システムが一時的に動作不能に陥る可能性も生じる。
攻撃ベクターには、ネットワークアクセス (AV:N) と、低複雑性手法 (AC:L) が記載されているが、有効な認証資格情報 (PR:L) が不可欠となる。データの機密性や整合性を侵害する脆弱性とは異なり、この脆弱性は可用性だけに影響を与えるため、稼働時間を重視する組織にとっての Environmental スコアは 5.7 となる。
Microsoft の分析では、この脆弱性が悪用されても、任意のコード実行や権限昇格は許可されないが、スマートカード認証やセキュア・メール・サービスなどの証明書関連のワークフローが麻痺する可能性があるという。
潜在的影響と運用への影響
この脆弱性を攻撃する際には、認証されたアクセスが必要であるため、現時点では “悪用される可能性は低い” と評価されているが、権限の低いアカウントを侵害できる環境では重大なリスクが生じるとされる。
攻撃に成功した攻撃者は、AD CS による正当な証明書リクエスト処理を妨害できるため、VPN ゲートウェイ/暗号化されたファイル共有/デバイス・プロビジョニング・サービスなどに依存するシステムに、機能不全に可能性が生じる。
PKI ベースの認証に AD CS を利用している企業では、ダウンタイムが長引くことで従業員による重要アプリへのアクセスが阻害され、ソフトウェアのデプロイメントなどの、IT 運用が遅延する可能性もある。
Microsoft が強調するのは、エクスプロイト・コードが公開されていないからといって、長期的なリスクが無くなるわけではないという点だ。エクスプロイトを開発する攻撃者は、パッチをリバース・エンジニアリングすることが多いため、タイムリーな更新が不可欠となる。
物理ネットワークやローカル・ネットワークにアクセスすることなく、リモートから攻撃者が脆弱性を悪用できるため、ハイブリッド AD CS デプロイメントを行う組織において、特にインターネットに面したエンドポイントに直面する組織においては、リスクが高まる。
2024 年の PetitPotam AD CS 攻撃といった、過去の類似事例が浮き彫りにするのは、証明機関の脆弱性がドメイン全体の侵害に連鎖的に発展する可能性であるが、今回の脆弱性には、そのようなエスカレーション経路は存在しない。
緩和戦略
May 2025 Patch Tuesday と通じて Microsoft は、CVE-2025-29968 に対処するセキュリティ更新プログラムをリリースしている。これらの更新プログラムは、AD CS ロールをホストする、すべてのサポート対象 Windows Server バージョンで利用可能である。さらに、管理者に対しては、以下の対策を実施が推奨される:
- 大量の証明書リクエストを要処理する AD CS サーバを優先する方向で、更新プログラムを直ちに適用する。
- 認証ログを監査し、異常な資格情報の使用を確認する。特に、証明書の登録権限があっても、管理者権限が制限されているアカウントの有無を確認する。
- AD CS サーバをファイアウォールの背後に分割し、承認されたユーザーとシステムだけにアクセスを制限し、攻撃対象領域を狭める。
速やかなパッチ適用が不可能な組織には、使用されていない AD CS Web 登録インターフェイスの無効化と、厳格なネットワーク・アクセス制御の実施が推奨される。
監視ツールにおいては、証明書リクエストの失敗の繰り返しや、予期しないサービスが再起動などに対して、フラグを立てる必要がある。それらの兆候には、エクスプロイト試行の可能性がある。
多層防御対策として、企業は証明書発行レートの制限や、登録パターンの異常検出を実装することも可能だ。
この脆弱性 CVE-2025-29968 は、データ窃盗やシステム乗っ取りを助長するものではないが、認証ワークフローを混乱させる可能性を持つため、警戒が必要である。
ユーザー企業にとって必要なことは、パッチ適用の緊急性と運用継続性のバランスを取ることであり、大規模なデプロイメントの前のステージング環境で、更新プログラムをテストすることである。
証明書ベースの認証は、ゼロトラスト・アーキテクチャにおいて依然として広く使用されているため、AD CS インフラを DoS 攻撃から保護することが、現代の ID エコシステムの信頼性を確保するために不可欠となる。
Microsoft のアドバイザリは、脅威の状況が進化していることを強調している。可用性に影響を及ぼす脆弱性であっても、ビジネスの回復力を維持するためには、プロアクティブな緩和策が必要になることを示している。
2025年5月の Patch Tuesday で修正された脆弱性 CVE-2025-29968 ですが、現時点では悪用は確認されておらず、深刻度も中程度とされています。ただし、パッチが公開されたことで、リバース・エンジニアリングによる悪用の可能性が懸念されており、Microsoft は早期パッチの適用を強く推奨しています。ご利用のチームは、アップデートをお急ぎください。また、同じく Patch Tuesday で修正された、他の脆弱性の記事も投稿しています。よろしければ、Microsoft で検索と併せて、ご参照ください。
2025/05/14:Microsoft AD CS の脆弱性 CVE-2025-29968
2025/05/14:Windows RDG の CVE-2025-26677/29831
2025/05/14:Microsoft Outlook の脆弱性 CVE-2025-32705
2025/05/14:Microsoft Defender の脆弱性 CVE-2025-26684
2025/05/14:Microsoft Scripting Engine の CVE-2025-30397
2025/05/14:Windows RDP の脆弱性 CVE-2025-29966/29967
2025/05/13:Microsoft 2025-05 月例:72件の脆弱性に対応
IoT OT Security News 
You must be logged in to post a comment.