CrowdStrike Falcon Windows Sensor Vulnerability Let Attackers Execute Code and Delete Files on Host
2025/10/09 CyberSecurityNews — CrowdStrike が公開したのは、Windows 向け Falcon センサーに存在する2件の脆弱性 CVE-2025-42701/CVE-2025-42706 であり、これに対処するパッチの提供に関する情報である。これらの脆弱性を悪用する攻撃者は、任意のファイルを削除する可能性を得るが、その前提として標的システム上でコード実行の権限を有している必要がある。CrowdStrike は、実際の悪用は確認されておらず、影響を受ける全顧客に修正プログラムを提供していると述べている。
CrowdStrike Falcon Windows センサーの脆弱性
これら2件の脆弱性 CVE-2025-42701/CVE-2025-42706 は、Falcon センサー・ソフトウェア内の弱点に起因している。
- CVE-2025-42701:CWE-367 に分類される TOCTOU (Time-of-Check Time-of-Use) 競合状態であり、CVSS 3.1 スコア 5.6 (Medium) と評価されている。
- CVE-2025-42706:オリジン検証に関連する論理エラー (CWE-346) であり、CVSS 3.1 スコア 6.5 (Medium) と評価されている。
いずれの脆弱性も、すでにシステムに侵入している脅威アクターに対して、攻撃の影響を拡大させる経路を提供するものであり、ホスト・システム上の任意のファイル削除の恐れが生じる。
悪用が成功した場合には、オペレーティング・システムや他のソフトウェアに加えて、CrowdStrike Falcon センサー自体の安定性などに問題が発生し、セキュリティ監視が中断されるおそれがある。ただし、これらの脆弱性は、リモート・コード実行型ではなく、初期アクセスの取得には悪用できない。
影響を受けるバージョンと修正内容
これらの脆弱性は、Windows 版 CrowdStrike Falcon センサーのバージョン 7.28 以前に影響する。具体的には、7.28.20006/7.27.19907/7.26.19811/7.25.19706/7.24.19607 の各ビルドが対象となる。
古い Windows 7 または Windows Server 2008 R2 システムでは、センサー・バージョン 7.16.18635 以前も影響を受ける。ただし、これらの問題は、macOS/Linux 向けの Falcon センサーには影響しない。
すでに CrowdStrike は、複数のセンサー・バージョン向けに修正版をリリースし、この問題を解決している。Windows 向けでは、最新の Falcon センサー・バージョン 7.29 で、これらの問題は修正されている。さらに、以下のバージョン向けにホット・フィックスが提供されている。
- 7.28 (7.28.20008)
- 7.27 (7.27.19909)
- 7.26 (7.26.19813)
- 7.25 (7.25.19707)
- 7.24 (7.24.19608)
また、Windows 7 および 2008 R2 システム向けには、専用のホット・フィックス 7.16.18637 が用意されている。影響を受けるセンサー・バージョンを実行する、すべての Windows ホストにおいて強く推奨されるのは、修正済みリリースへのアップグレードである。
| Affected Version | Patched Version |
|---|---|
| 7.28.20006 | 7.28.20008 and later |
| 7.27.19907 | 7.27.19909 |
| 7.26.19811 & 7.26.19809 | 7.26.19813 |
| 7.25.19706 | 7.25.19707 |
| 7.24.19607 and earlier | 7.24.19608 |
| 7.16.18635 and earlier (WIN7/2008 R2 only) | 7.16.18637 (WIN7/2008 R2 only) |
セキュリティ管理体制と監視
これらのセキュリティ問題を特定した背景には、CrowdStrike による包括的なセキュリティ態勢管理と、長年にわたるバグ報奨金プログラムがある。このプログラムは、セキュリティ研究者による脆弱性の発見と報告を促すものである。
同社はアドバイザリの中で、これらの脆弱性を悪用しようとする試みを、脅威ハンティングおよびインテリジェンス・チームが、積極的に監視していることが確認されている。現時点において、これらの脆弱性に対する悪意の活動は確認されていない。
CrowdStrike Falcon センサーに、2つの脆弱性が発見されました。具体的には、時間差検査 (TOCTOU) による競合状態の脆弱性 CVE-2025-42701 と、オリジン検証の論理的な欠落の脆弱性 CVE-2025-42706 です。どちらもセンサー内部での状態や権限前提を正しく扱えないという実装上の不整合の問題であり、すでに権限を持つ攻撃者に対して任意ファイル削除などを許す経路を作ってしまいます。ご利用のチームは、ご注意ください。よろしければ、CrowdStrike で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.