Microsoft Warns of Active Directory Domain Services Vulnerability, Let Attackers Escalate Privileges
2025/09/10 CyberSecurityNews — Microsoft が発表したのは、Active Directory ドメイン・サービスに存在する、深刻なセキュリティ脆弱性 CVE-2025-21293 に関する警告である。すでにシステムへの初期アクセスを取得している攻撃者が、この脆弱性の悪用に成功すると権限昇格を達成し、影響を受けるドメイン・コントローラを完全に制御することで、ネットワーク・インフラのセキュリティ侵害の可能性が生じる。
この問題は、不適切なアクセス制御の欠陥 (CWE-284) に起因し、権限昇格に分類される。Microsoft のアドバイザリによると、この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限まで昇格できる可能性があるという。
SYSTEM 権限とは、Windows システムで最上位の権限であり、攻撃者は何の制限もなく、あらゆる操作を実行できる。具体的には、悪意のソフトウェアのインストールや、重要データの改竄/削除に加えて、持続的なアクセスを目的とする新規の管理者アカウントの作成などが挙げられる。
この脆弱性は、2025年1月14日の時点で報告されたものであり、Microsoft は 2025年9月9日に情報を更新している。
悪用の条件と評価
Microsoft の評価は、この脆弱性が悪用される可能性は低いというものだ。その重要な要件として挙げるのは、攻撃者にとって標的システムへのログオンが必要となる点だ。
つまり、未認証のリモート・ユーザーが、この脆弱性をダイレクトに悪用することは不可能である。したがって攻撃者は、有効な認証情報を入手する必要があるが、それらは、フィッシングやクレデンシャル・スタッフィングなどで取得され得る。
そのため、認証済みの攻撃者であれば、特別に細工されたアプリケーションを実行し、この脆弱性を悪用することで権限昇格を引き起こせる。最新のアップデート時点では、この脆弱性は非公開であり、悪用事例も確認されていない。
事前アクセスが前提条件となっているが、影響の深刻さを考慮すると、IT 管理者にとってパッチ適用が最優先の事項となる。ドメイン・コントローラを制御できる攻撃者は、Active Directory フォレスト全体を侵害し、すべてのドメイン参加リソースを危険にさらす可能性を手にする。
ユーザー組織に対して推奨されるのは、Microsoft が公開したセキュリティ更新プログラムを速やかに適用し、この脅威からドメイン・コントローラを防御することである。
このインシデントが示唆するのは、定期的なパッチ適用/ネットワーク・セグメンテーション/異常なユーザー・アクティビティの監視などの多層防御の戦略が、ローカル権限昇格の脆弱性を悪用する多段階の攻撃からの防御に不可欠なことだ。
Active Directory ドメイン・サービスに存在する、脆弱性 CVE-2025-21293 のアドバイザリが更新されました。この問題の原因は、不適切なアクセス制御による欠陥にあり、それを悪用すると攻撃者が SYSTEM 権限に昇格できる点です。悪用の前提として、システムへのログオンが必要になりますが、条件を満たした場合の影響は非常に大きいと、この記事は指摘しています。なお、2025年9月9日のアドバイザリ更新とされていますが、この月の Patch Tuesday には含まれず、PoC が提供されているようです。ご利用のチームは、ご注意ください。よろしければ、Active Directory で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.