Hackers Exploit Windows Remote Access Connection Manager 0-Day in Ongoing Attacks
2025/10/15 gbhackers — 2025年10月14日の Patch Tuesday で公開された、Windows Remote Access Connection Manager の脆弱性 CVE-2025-59230 (CVSS:7.8) の悪用が、Microsoft により確認された。システムへのアクセス権限が制限されている攻撃者であっても、このセキュリティ上の欠陥を悪用することで、自身の権限を最高レベルに昇格させ、侵害したシステムを完全に制御する可能性を得るという。
ゼロデイ脆弱性によりシステム・レベルへのアクセスが可能
この脆弱性の原因は、Windows のリモート・ネットワーク接続を処理する、 Remote Access Connection Manager コンポーネントにおける不適切なアクセス制御にある。
| Attribute | Details |
| CVE ID | CVE-2025-59230 |
| Vulnerability Type | Elevation of Privilege |
| Release Date | October 14, 2025 |
| CVSS Score | 7.8 (Base) / 7.2 (Temporal) |
| Severity | Important |
Microsoft の Threat Intelligence Center と Security Response Center のセキュリティ研究者たちが発見したのは、パッチが公開される前に、この脆弱性が悪用されていた証拠である。
この攻撃の前提として、標的システムへのローカル・アクセスがあるため、攻撃には標的マシン上での低レベルのユーザー権限が必要となる。しかし、攻撃の複雑さは低く、いったん侵入すれば悪用は容易であり、ユーザーによる操作は不要である。
この脆弱性で懸念されるのは、Windows 環境における最高権限レベルである SYSTEM レベルへの権限昇格が可能なことだ。したがって、侵害に成功した攻撃者は、あらゆるデータの読取/変更/削除が可能になる。さらに、悪意のソフトウェアのインストール/新しい管理者アカウントの作成/侵害を受けたシステムへの永続的なアクセスなども可能になる。
Microsoft の悪用可能性の評価では、機能するエクスプロイト・コードが存在し、実際の攻撃で悪用されていることが確認されている。この脆弱性は、Microsoft の Patch Tuesday 以前には公表されていないため、脅威アクターが独自にエクスプロイトを開発したケースと、アンダーグラウンド・チャネルを通じて入手したケースが考えられる。
この脆弱性を、すでに攻撃者が悪用しているため、ユーザー組織にとって必要なことは、セキュリティ更新プログラムの速やかな適用である。
Windows の Remote Access Connection Manager コンポーネントは、多様な Windows バージョンに存在するため、数百万台のシステムが侵害の危険にさらされる可能性がある。
セキュリティ専門家たちがシステム管理者に対して推奨するのは、複数のユーザーがアクセスできるシステムや企業ネットワークに接続されているシステムへの、パッチ適用を優先することだ。
さらにユーザー組織は、疑わしい権限昇格の試みを監視し、Remote Access Connection Manager サービスに関連する侵害の兆候をシステムログで確認すべきである。
Remote Access Connection Manager の不適切なアクセス制御が原因となり、低権限のローカル・ユーザーが SYSTEM 権限へと、容易に昇格できてしまいます。権限チェックの抜けや処理パスの保護不足に起因し、また、攻撃の難易度は低く、実際に悪用されています。2025年10月の Patch Tuesday で対処されていますので、ご確認ください。
IoT OT Security News 
You must be logged in to post a comment.