New Microsoft Scripting Engine Vulnerability Exposes Systems to Remote Code Attacks
2025/05/14 gbhackers — Microsoft Scripting Engine に存在する、深刻なゼロデイ脆弱性により、ネットワーク経由でのリモートコード実行 (RCE) 攻撃が可能になることが確認され、企業/個人ユーザーにとって喫緊の懸念事項となっている。脆弱性 CVE-2025-30397 はタイプ・コンヒュージョン (CWE-843) に分類されており、このエンジンがメモリ内でデータ型を処理する方法を操作する攻撃者は、セキュリティ・メカニズムを回避できる。Microsoft は、この脆弱性を CVSS v3.1 スコア 7.5 (Important) と評価し、パッチが提供される前に、標的型攻撃で悪用された事例があると認めている。
この脆弱性は、Scripting Engine のメモリ割り当てプロセスにおける、オブジェクト・タイプの不適切な処理に起因する。
つまり、このエンジンは、スクリプト・ベースのコンテンツを解析する際に、リクエストされたリソースと、想定されるデータ構造型の一致を検証していない。
したがって、悪意のスクリプトを作成する攻撃者は、エンジンを混乱させ、メモリ・アドレスをパッシブなデータバッファではなく、実行可能なコード・セグメントとして解釈させる可能性を手にする。
この悪用を成功させるには、最小限のユーザー・インタラクションが必要となる。通常では、特別に設計された悪意のドキュメントや、悪意のスクリプトを取り込んだ Web ページに、ユーザーをアクセスさせることで、攻撃者は侵害を達成する。このタイプ・コンヒュージョンが発生すると、カレント・ユーザーの権限で任意のコード実行が可能になる。
セキュリティ研究者たちが指摘するのは、この脆弱性を悪用する複雑性の低い攻撃により、ネットワーク全体において、ランサムウェア/認証情報収集ツール/スパイ・ツールなどが展開される可能性である。
このスクリプト・エンジンは、Microsoft 製品に広く統合されているため、広範にリスクが及ぶ。Internet Explorer 11 には、脆弱なコンポーネントは含まれているが、最新の Edge ブラウザのアーキテクチャは影響を受けない。ただし、ActiveX コントロールや、古いスクリプト・インターフェイスに依存するレガシー・アプリケーションは、パッチが適用されるまで無防備な状態を引きずる。
アクティブな悪用とエンタープライズへの影響
2025年5月13日の情報公開の前に、この脆弱性が限定的な攻撃で積極的に悪用されていることを、Microsoft は認めている。脅威アクターたちが展開するのは、悪意のスクリプトが埋め込まれた、Office ドキュメントを配布するフィッシング・キャンペーンである。
ローカル・アクセスを必要とする、一般的なリモート・コード実行 (RCE) 脆弱性とは異なり、この脆弱性はネットワーク・ベースの攻撃ベクターを介するため、標的に物理的に近接することなく、リモートからの侵入を可能にする。
古い Windows Server インスタンスや、パッチ未適用の Microsoft 365 を使用するエンタープライズがリスクに直面している。この脆弱性と、権限昇格の脆弱性を連鎖させる攻撃者は、ネットワークを横断的に攻撃する可能性を手にする。
米国 Cybersecurity and Infrastructure Security Agency (CISA) は、この脆弱性 CVE-2025-30397 を KEV カタログに追加し、連邦政府機関に対して、2025年6月3日までに対策するよう義務付けている。
第三者機関の評価によると、欧州と北米の金融機関や政府請負業者が、この脆弱性を狙う攻撃の標的となっているようだ。その一方で、Microsoft の Threat Intelligence Center は、Cobalt Strike ビーコンを展開するペイロードを観測している。こちらは、スパイ活動目的の攻撃を示唆している。
PoC コードは公開されていないため、現時点で悪用リスクは軽減されているが、この脆弱性の技術的なアクセス可能性を考えると、この状況が急速に変化する可能性もあると、研究者たちは警告している。
緩和の戦略とパッチの展開
Microsoft は May 2025 Patch Tuesday で、脆弱性 CVE-2025-30397 に対処する、セキュリティ更新プログラムをリリースしている。
ユーザー組織にとって必要なことは、Windows や Microsoft 365 Apps などの、脆弱なソフトウェアを実行している可能性のある、すべてのシステムを優先的に更新することである。
迅速なパッチ適用が不可能なシステムの場合には、以下の方法で管理者はリスクを軽減できる:
- Group Policy を用いて Scripting Engine を無効化する。
- 信頼されていない ActiveX コントロールをブロックするための、アプリケーション制御を実装する。
- レガシー・システムを分離するための、ネットワーク・セグメンテーションを有効化する。
エンド・ポイント検出ツールで監視する必要があるのは、疑わしいスクリプト・アクティビティであり、特に scrrun.dll/jscript.dll から生成されるプロセスとなる。
Microsoft Defender for Endpoint には、この脆弱性に関連する、悪用パターンを識別するためのビヘイビア・シグネチャが追加されている。
完全な保護を提供する回避策は存在しないが、Office マクロを制限し、メール添付ファイルのスキャンを強制することで、初期の攻撃ベクターを緩和できる。
ただし、緩和策を講じる前に、攻撃者が永続化メカニズムを確立している可能性もある。したがって、サイバー・セキュリティの専門家たちが推奨するのは、パッチが適用されていないシステムに対して、フォレンジック監査を実施することだ。
この脆弱性が浮き彫りにするのは、複雑なソフトウェア・エコシステムにおいて、メモリ破損の脆弱性が依然として存在するというリスクである。
Microsoft が、Rust などの最新のメモリ・セーフ言語に移行するのに反して、レガシー・コンポーネントは、高度な脅威アクターにとって魅力的な標的であり続ける。
このような脅威を軽減するためにも、プロアクティブなパッチ管理と多層防御戦略が依然として重要となる。
先日の May 2025 Patch Tuesday で修正された Microsoft Scripting Engine の脆弱性 CVE-2025-30397 ですが、すでに悪用が確認されているとのことです。ご利用のチームは、パッチ適用や、緩和策の導入を、ご検討下さい。なお、同じく5月の Patch Tuesday で修正された「Windows RDP の脆弱性 CVE-2025-29966/29967 に注目:2025/05 月例で FIX」も投稿しています。よろしければ、Microsoft で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.