Microsoft IIS Web Deploy Vulnerability Allows Remote Code Execution
2025/08/14 gbhackers — Microsoft が公表したのは、IIS (Internet Information Services) の Web Deploy ツールに存在する、深刻なセキュリティ脆弱性に関する情報である。この脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のリモート・コード実行の可能性を得る。この脆弱性 CVE-2025-53772 の CVSS スコアは 8.8 であり、深刻度は Important と評価され、2025年8月12日の Patch Tuesday で修正されている。
この脆弱性は、Web Deploy フレームワークにおいて、信頼できないデータが適切にデシリアライズされないことに起因する。IIS Web サーバに対して、Web アプリケーション/コンテンツをデプロイする際に、一般的に使用される Microsoft のツールが Web Deploy である。
低レベルの権限を持つ認証済みの攻撃者であっても、この脆弱性を悪用することでデシリアライズ・プロセスへの侵害を達成し、脆弱なシステムを完全に制御する可能性を手にする。
| Vulnerability Details | Information |
| CVE ID | CVE-2025-53772 |
| Release Date | August 12, 2025 |
| Assigning CNA | Microsoft |
| Impact | Remote Code Execution |
| Max Severity | Important |
| Weakness Type | CWE-502: Deserialization of Untrusted Data |
| CVSS Score | 8.8 / 7.7 |
この攻撃ベクターは、攻撃の複雑さが低く、ユーザーの操作を必要とせずに、ネットワーク接続を介してリモート実行できるため、特に懸念される。その悪用が成功すると、標的システムの機密性/整合性/可用性に深刻な影響が生じる可能性がある。
この脆弱性は、エンタープライズ環境において、自動化されたデプロイメント・プロセスに広く使用されている、Web Deploy のコア機能に影響を与える。
セキュリティ研究者たちは、この脆弱性を CWE-502 に分類しており、アプリケーションが信頼できないデータをデシリアライズする際に、データの有効性を十分に検証しないことを示している。
これまでにおいて、この種の脆弱性には、リモート・コード実行に悪用されてきたという現実がある。したがって、IIS Web Deploy を使用する組織にとって、この脆弱性は、セキュリティ上の深刻な懸念事項となっている。
すでに Microsoft は、脆弱性 CVE-2025-53772 へのセキュリティ更新プログラムをリリースし、この問題に対処している。IIS Web Deploy を使用する組織にとって必要なことは、Microsoft のセキュリティ・アドバイザリでパッチを確認し、更新プログラムを速やかに適用することだ。
セキュリティ専門家たちが推奨するのは、IIS Web Deploy を実行しているシステムを確認し、リスク評価に基づいてパッチの適用に優先順位を付けることだ。
この脆弱性が浮き彫りにするのは、エンタープライズ・ソフトウェアのデシリアライズの欠陥に関連する、継続的なセキュリティ上の課題である。機密性の高い操作を処理するデプロイメント・ツールにおいては、堅牢な入力検証と安全なコーディング・プラクティスが重要となる。
Microsoft IIS の Web Deploy ツールに、深刻な脆弱性 CVE-2025-53772 が見つかり、2025年8月の Patch Tuesday で修正されました。この記事の英原文には、その旨の記載がありませんが、お隣のキュレーション・チームに確認したところ、それで間違いないとのことです。この脆弱性の原因は、信頼できないデータをデシリアライズする際の不十分な処理にあります。この弱点を突く攻撃者は、コード実行を達成し、システム全体の制御を奪う機会を得ると、この記事は指摘しています。ご利用のチームは、Patch Tuesday の適用を、ご確認ください。よろしければ、Microsoft IIS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.