Windows Task Scheduler の脆弱性 CVE-2025-33067：ローカル権限昇格の可能性

Windows Task Scheduler Vulnerability Let Attackers Escalate Privileges

2025/06/11 CyberSecurityNews — Windows Task Scheduler に存在する、深刻なセキュリティ脆弱性を悪用する攻撃者は、管理者権限を必要とすることなく、システム・レベルのアクセス権限へと昇格する可能性を手にする。この脆弱性 CVE-2025-33067 (CVSS：8.4：Important) は、Windows オペレーティング・システムの複数バージョンに影響を及ぼす。この脆弱性は、Windows カーネルの Task Scheduler コンポーネントにおける不適切な権限管理に起因し、権限のないローカル攻撃者に対して、システムの完全な制御を許す可能性がある。

2025年6月10日の Patch Tuesday で、Microsoft は包括的なセキュリティ更新プログラムをリリースし、Windows 10 から Windows Server 2025 にいたるまでの、すべての Windows プラットフォームで、この脆弱性に対処した。

Windows Task Scheduler の脆弱性

この脆弱性は、不適切な権限管理に分類され、Windows Task Scheduler におけるタスク権限処理の方法に存在する、深刻な欠陥を示している。

Microsoft のセキュリティ情報によると、攻撃ベクターはローカル (AV:L)／複雑性は低 (AC:L)／事前の権限 (PR:N) やユーザー操作 (UI:N) は不要である。攻撃者が SYSTEM へのイニシャル・アクセス権を取得すると、この組み合わせにより権限昇格へのダイレクトな経路が提供されるため、この脆弱性はきわめて危険である。

また、CVSS ベクター文字列は、機密性／整合性／可用性について、影響度が最大であり、すべてが High と評価されている。

スケジュールされたタスクとのインタラクションを可能にする、この権限処理の脆弱性を悪用する攻撃者は、Windows 環境における最高レベルのアクセスである SYSTEM 権限の取得を、最終的に可能にするという。

セキュリティ研究者である Alexander Pudwill が、この脆弱性を発見し、協調的な開示プロトコルを通じて、責任ある形で開示した。

影響を受けるシステムとセキュリティ更新プログラム

Microsoft のセキュリティ対策は、広範な Windows プラットフォームをカバーしており、27 種類の異なる Windows コンフィグに対して、セキュリティ更新プログラムがリリースされている。この脆弱性の影響が及ぶ範囲は、Windows 10 のバージョン 1607 〜 22H2／Windows 11 の全バージョン／Windows Server 2016 〜 2025 である。

Risk Factors	Details
Affected Products	– Windows 10 (Version 1607/1809/21H2/22H2)- Windows 11 (22H2/23H2/24H2)- Windows Server 2016-2025- Server Core installations- ARM64/x64/32-bit architectures
Impact	Privilege escalation to SYSTEM level
Exploit Prerequisites	– Local system access (AV:L)- No prior privileges required (PR:N)- No user interaction needed (UI:N)- Low attack complexity (AC:L)- Windows Task Scheduler component interaction
CVSS 3.1 Score	8.4 (Important)

ユーザー組織にとって必要なことは、2025年6月10日のセキュリティ更新プログラムを、すべての Windows システムに対して速やかに適用することだ。この脆弱性に対する、悪用の可能性は低いという評価は、ある程度の安心材料となる。この脆弱性は、技術的には悪用可能であるが、実際に悪用される試みは確認されていないと、Microsoft は述べている。

IT 管​​理者にとって必要なことは、高価値データを取り込むシステムや、信頼できないユーザーがアクセスする可能性のあるシステムに、重点を置くことである。なぜなら、通常においてローカル攻撃ベクターは、フィッシング／物理的アクセス／脆弱性悪用などの、他の手段によるシステムへのイニシャル・アクセスを必要とするからだ。

それに加えて、ネットワーク・セグメンテーション／最小権限の原則の実装／Task Scheduler アクティビティの監視強化により、追加の防御層を追加できる。

Windows Task Scheduler の CVE-2025-33067 は、SYSTEM 権限への昇格が可能という点で、ローカル攻撃とはいえ軽視できないですね。ユーザー操作が不要で複雑性も低いため、初期アクセス後に悪用されやすいはずです。ご利用のチームは、すでに提供されているパッチの適用を、ご検討ください。よろしければ、Windows で検索も、ご参照ください。