Windows Ancillary Function Driver の脆弱性 CVE-2025-32709 が FIX:すでに悪用を観測

Windows Ancillary for WinSock 0-Day Vulnerability Actively Exploited to Gain Admin Access

2025/05/14 gbhackers — Microsoft が確認したのは、Windows Ancillary Function Driver for WinSock の深刻な特権昇格の脆弱性 CVE-2025-32709 の悪用である。この、use-after-free 脆弱性の悪用に成功した、基本的なユーザー権限を持つローカル攻撃者は、SYSTEM レベルのアクセス権を取得する可能性を手にし、パッチを未適用のシステムに対して重大なリスクをもたらす恐れがある。この脆弱性は 2025年5月13日に初めて公表され、CVSS 基本スコアは 7.8 (High) /temporal スコアは 6.8 とされている。これらの評価は、パッチの公開前の、実環境での攻撃の確認が反映されたものだ。

この脆弱性は、ネットワーク・ソケット通信のための Winsock API 操作を管理する、カーネルモード・コンポーネント Windows Ancillary Function Driver (AFD) に存在する。

AFD がソケット記述子のメタデータを処理する際の競合状態を、攻撃者は悪用する。この競合状態は、不適切なメモリ管理により再割り当てされたバッファ領域が、古いポインタを保持してしまうという状況を指す。

そして、特定の IOCTL (Input/Output Control) リクエストを作成することで、ドライバに解放されたメモリ・ブロックを参照させ、カーネル空間で任意のコード実行を達成する。

この脆弱性の悪用には、標準ユーザー権限を持つローカル・アクセスが必要となる。しかし、ユーザー操作を伴わないため、マルチ・ユーザー環境や侵害後の内部攻撃において、きわめて効果的である。

この脆弱性の悪用においては、攻撃がローカル環境に限定される一方で、機密性/完全性/可用性に深刻な影響を及ぼすことが、ベクター情報から明らかになっている。

Microsoft は、「Windows の WinSock 補助機能ドライバに、Use-after-free 脆弱性が存在する。この脆弱性の悪用に成功した認証済の攻撃者は、ローカルで特権を昇格させ、管理者特権の取得の可能性を手にする」と述べている。

悪用状況と対策

2025年4月以降において、医療機関や政府機関を標的とする、限定的な標的型の攻撃で 脆弱性 CVE-2025-32709 が悪用されたことを、Microsoft のセキュリティ・チームは認めている。

この脆弱性を悪用する攻撃者は、フィッシング・キャンペーンや既存のマルウェアなどを組み合わせて特権を昇格させる。その後に、ランサムウェア・ペイロードや認証情報の窃取ツールを展開している。

この脆弱性の悪用は、正規のドライバ機能を利用するため、痕跡がほとんど残らず、検知が難しいという特徴がある。

2025年5月14日に Microsoft は、Windows 10/11 および Server 2022 エディション向けのセキュリティ更新プログラム (KB5036899) をリリースしている。

組織に推奨されるのは、信頼できないユーザーによりアクセスされた可能性のあるシステムに対して、特にリモート・デスクトップ・ゲートウェイやターミナル・サーバなどに対して、パッチを適用することである。

速やかな更新が難しい場合のために、Microsoft は、以下の対策を推奨している:

  • HVCI (Hypervisor-protected Code Integrity) を有効化する。
  • 最小限のユーザー・アクセス・ポリシーに基づき、管理者権限の使用を制限する。
  • Defender for Endpoint を活用し、AFD.sys における異常なメモリ割り当ての挙動を監視する。

脆弱性 CVE-2025-32709 の積極的な悪用が浮き彫りにするのは、現代の Windows アーキテクチャにおいて、レガシーなドライバ・コンポーネントのセキュリティを確保することの、構造的な課題である。

AFD は、コア・ネットワーク・スタックと密接に統合されており、ユーザー・モード入力にも頻繁にさらされるため、継続的な攻撃の対象となりやすい構造を持つ。

この脆弱性には、特権昇格の可能性があり、また、実際の悪用が確認されているが、Microsoft の深刻度の評価は Critical ではなく Important となっている。それに対して、独立系の研究者たちは疑問の声を上げている。

ランサムウェアや APT による攻撃で、カーネルレベルの脆弱性が悪用されるケースが増えている中、ユーザー組織に求められるのは、ドライバの依存関係を見直し、仮想化やサンドボックス化を用いることで、高リスクのコンポーネントを隔離することである。

現時点で Microsoft は、Windows 12 プレビュー・ビルドにおいて、ドライバ保護機能の強化を進めている。今後のリリースでは、メモリのタグ付け機能や、IOCTL フィルタリング機能などを追加することで、同種の脆弱性によるリスクを軽減する見込みだ。

組織のセキュリティ・チームに推奨されるのは、予期しない特権昇格や異常なソケットの挙動が見られるシステムを、侵害されている可能性があるものと見做すことである。

フォレンジック調査においては、AFD.sys のメモリ・ダンプや Winsock API 呼び出しログを優先的に解析し、脆弱性の悪用の試みを特定する必要がある。

Windows ドライバの脆弱性は、これまでも国家支援型の攻撃者の標的となってきた。そうした背景を踏まえると、脆弱性 CVE-2025-32709 は、2025年における Windows ドライバ脆弱性を悪用する攻撃の ”最初の波” となる可能性が高いと言える。

Microsoft の May 2025 Patch Tuesday では、その時点での悪用が確認されていた、5件のゼロデイ脆弱性が FIX しています。ちょっと多い感じがしますが、それを受けるかたちで gbhackers が深掘り特集を展開しています。とても助かりますね。よろしければ、Windows で検索も、ご利用ください。