Microsoft Exchange Server Vulnerabilities Let Attackers Spoof and Tamper Over Network
2025/08/13 CyberSecurityNews — Microsoft Exchange Server に存在する、深刻なセキュリティ脆弱性を悪用する攻撃者は、ネットワーク接続を介して成りすまし攻撃などを仕掛けられるという。それらの脆弱性には、成りすましや改ざん攻撃を可能にする2件の脆弱性 CVE-2025-25007/CVE-2025-25005 と、権限昇格攻撃を容易にする Windows Graphics Component の脆弱性 CVE-2025-49743 が含まれる。
主なポイント
- 脆弱性 CVE-2025-25007/CVE-2025-25005 は、ネットワークを介した成りすましや改ざん攻撃を可能にする。
- 脆弱性 CVE-2025-49743 は、競合状態による不正なシステム・アクセスを可能にする。
- 2025年8月12日に Microsoft が更新プログラムを公開 — 緊急適用を推奨。
なりすましおよび改ざんの脆弱性
Microsoft Exchange Server の脆弱性 CVE-2025-25007 は、入力構文の不適切な検証により成りすましが発生し、CWE-1286 に分類される。このネットワーク・ベースの脆弱性は、権限やユーザー操作を必要とせず、CVSS スコアは 5.3 である。
攻撃ベクター:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
この脆弱性を悪用する攻撃者は、ユーザーに表示される 5322.From メール・アドレスを偽装し、メールへの信頼性を毀損する。
2つ目の Exchange の脆弱性 CVE-2025-25005 は、不適切な入力検証 (CWE-20) により、改ざん攻撃を可能にする。CVSS スコアは 6.5 と評価されている。
攻撃ベクター:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
この脆弱性の悪用においては、低レベルの権限が必要とされるが、機密性に高い影響を与える。これらの脆弱性は、Exchange Server 2016 CU23 および、Exchange Server 2019 CU14 / CU15、Exchange Server Subscription Edition RTM などの複数バージョンに影響を及ぼす。
Windows Graphics Component の権限昇格
Windows Graphics Component に影響を及ぼす脆弱性 CVE-2025-49743 は、不適切な同期による共有リソースのコンカレント使用を伴う、複雑な攻撃ベクターを持つ。この脆弱性は、CWE-362 (競合状態) と CWE-416 (解放後使用) という、2つの深刻な弱点を併せ持ち、CVSS スコアは 6.7 と評価される。
攻撃ベクター:CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
この脆弱性を悪用する前提として、脅威アクターは競合状態を突破する必要があり、攻撃の複雑さは High となるが、成功すれば SYSTEM 権限が付与される可能性がある。Microsoft の悪用可能性の評価では、”悪用される可能性が高い” とされ、要件が複雑であっても、リスクは高いと結論付けられている。
| CVE | Title | CVSS 3.1 Score | Severity |
| CVE-2025-25007 | Microsoft Exchange Server Spoofing Vulnerability | 5.3 | Important |
| CVE-2025-25005 | Microsoft Exchange Server Tampering Vulnerability | 6.5 | Important |
| CVE-2025-49743 | Windows Graphics Component Elevation of Privilege Vulnerability | 6.7 | Important |
緩和策
すでに Microsoft は、影響を受けるすべてのプラットフォームに対して、3件の脆弱性を修正する協調的なセキュリティ更新プログラムをリリースしている。
サーバ更新プログラムには、KB5063221/KB5063222/KB5063223/KB5063224 が含まれ、Windows Server 2008 〜 2025 までの更新が提供されている。また、Windows システム向けとしては、最新の Windows 11 バージョン 24H2 対応のアップデートがリリースされている。
その一方で、Windows Graphics の脆弱性は、Windows 10 バージョン 1607~22H2/Windows 11 バージョン 22H2~24H2/Windows Server バージョン 2008~2025 に影響するとされる。
ネットワーク・ベースの Exchange 攻撃と、ローカル権限昇格が組み合わされることで、エンタープライズ・インフラに対する高度な多段階攻撃が可能となるため、早急なパッチ適用が優先されるべきだ。
Exchange Server と Windows Graphics Component という、異なる領域で発生している脆弱性が解説されています。Exchange 側の CVE-2025-25007/25005 は、入力の検証不足が原因となっており、メールアドレスの偽装やデータ改ざんにつながります。その一方で、Windows Graphics の CVE-2025-49743 は、コンカレント処理の不適切な同期とメモリ解放の扱いに問題があり、競合状態を突かれると SYSTEM 権限を奪われる可能性が生じます。いずれの脆弱性も、2025年8月の Patch Tuesday で修正されています。ご利用のチームは、ご確認ください。
IoT OT Security News 
You must be logged in to post a comment.