Microsoft Defender Vulnerability Allows Unauthorized Privilege Gain
2025/05/14 gbhackers — Microsoft Defender for Endpoint で新たに発見された脆弱性 CVE-2025-26684 は、ファイル・パスの不適切な処理の悪用という侵害経路を生み出し、システムへのローカル権限昇格攻撃の可能性を生じる。この脆弱性の CVSS スコアは 6.7 で Important と評価されている。この脆弱性を悪用する高権限を持つ認証済みの攻撃者は、ファイル名またはパスを操作し、任意のコード実行の可能性を手にする。この脆弱性は “CWE-73:ファイル名またはパスの外部制御” に起因することを、Microsoft は確認しているが、2025年5月13日の時点で、アクティブな悪用は確認されていないという。
この脆弱性は、ユーザーが指定したファイル・パスを、Microsoft Defender for Endpoint がサニタイズできないことに起因し、攻撃者に対してセキュリティ制御の回避を許す可能性を生じている。
悪意のパスを作成する攻撃者は、重要なシステム・ファイルの上書きや、昇格した権限でのペイロード展開などの可能性を得る。
攻撃ベクターは局所的 (AV:L) であり、前提条件のアクセス (PR:H) を必要とし、攻撃の複雑さは低い (AC:L)。
Microsoft のアドバイザリに記されるのは、この脆弱性を悪用する攻撃者は、前提として管理者権限を保有している必要があるため、リモート攻撃による即時の被害リスクは限定的であるという点だ。
しかし、内部アカウントの侵害や侵入後のシナリオに応じて、この脆弱性が悪用されると、ネットワーク内での悪意の持続性が高まる可能性があるという。
CVSS 3.1:6.7 というベクターは、その影響範囲が局所的であっても、機密性/整合性/可用性に重大な影響が生じることを示している。
エンタープライズ・セキュリティへの影響
この脆弱性を悪用する際には、攻撃者に対して高権限が付与されていることが前提となるが、エンタープライズ環境への影響は甚大である。
この脆弱性 CVE-2025-26684 を悪用する攻撃者は、マルウェア対策サービスの無効化や、悪意の活動の隠蔽/ドメイン間での権限昇格などを引き起こす機会を得る。
この脆弱性の深刻度 Important は、悪用により Endpoint Detection and Response (EDR) 機能が阻害され、脅威の可視性が著しく低下するという、Microsoft の評価を反映するものだ。
Defender for Endpoint は、最前線のセキュリティ・ツールとしての役割を担っているため、リスクが増大していく。このエクスプロイトが成功すると、リアルタイム保護が無効化され、ラテラル・ムーブメント (横方向移動) やデータ窃取が可能になる。
Defender だけに依存する組織は、この防御層を無効化する攻撃者により、連鎖的な侵害に直面する可能性がある。
緩和戦略とパッチ状況
Microsoft は、CVE-2025-26684 を修正するための、サイレント・アップデートをリリースしている。このアップデートは、Microsoft Intune または Group Policy で管理される、エンタープライズ・エンドポイントを優先するものだ。管理者にとって必要なことは、Defender バージョン 4.18.24050.3 以降がアクティブなことの確認である。
レガシー・システムの場合の回避策としては、ローカル管理者権限の制限や、ファイルパスのアクセス許可の監査などがある。
Microsoft のエクスプロイト可能性評価では、前提条件となるアクセス障壁があるため、攻撃の “可能性は低い” とされている。その一方で、脅威研究者たちが警告するのは、高度な APT による攻撃では、この種の脆弱性と認証情報の窃取の、組み合わせが多用されるという点だ。
Microsoft が推奨するのは、残存リスクを軽減するための、ゼロトラスト・ポリシーの適用と管理者アカウントのセグメント化である。
脆弱性 CVE-2025-26684 は、エクスプロイトの際の課題が複雑である一方で、セキュリティ・ツール自体の脆弱性という問題を浮き彫りにしている。
Defender のような防御システムでさえ、攻撃ベクターとなる可能性があることを、ユーザー企業は認識する必要がある。それにより、パッチ適用の緊急性と、広範なセキュリティ強化策のバランスを取る必要性が生じている。
Defender のアップデートが展開されているが、バイパスの試みを検知するためには、異常なファイル操作の継続的な監視が重要となる。
2025年5月の Patch Tuesday で修正された、Microsoft Defender の脆弱性 CVE-2025-26684 を詳述した記事です。この脆弱性の攻撃の “可能性は低い” とされている一方で、脅威研究者たちによると、高度な APT による攻撃では、この種の脆弱性と認証情報の窃取の、組み合わせが多用されているとのことです。ご利用のチームは、十分にご注意ください。また、同じく Patch Tuesday で修正された、他の脆弱性の記事も投稿しています。よろしければ、Microsoft で検索と併せて、ご参照ください。
2025/05/14:Microsoft AD CS の脆弱性 CVE-2025-29968
2025/05/14:Windows RDG の CVE-2025-26677/29831
2025/05/14:Microsoft Outlook の脆弱性 CVE-2025-32705
2025/05/14:Microsoft Scripting Engine の CVE-2025-30397
2025/05/14:Windows RDP の脆弱性 CVE-2025-29966/29967
2025/05/13:Microsoft 2025-05 月例:72件の脆弱性に対応
IoT OT Security News 
You must be logged in to post a comment.