U.S. CISA adds Microsoft Windows and WinRAR flaws to its Known Exploited Vulnerabilities catalog
2025/12/10 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、Microsoft Windows および RARLAB WinRAR の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加したことである。今回のカタログに追加された脆弱性は以下のとおりである。
- CVE-2025-6218 (CVSS 7.8):RARLAB WinRAR パス・トラバーサル脆弱性
- CVE-2025-62221 (CVSS 7.8):Microsoft Windows 解放後メモリ使用 (use-after-free) 脆弱性
1つ目の脆弱性 CVE-2025-6218 は、WinRAR のディレクトリ・トラバーサルの欠陥 (旧 ZDI-CAN-27198) である。この脆弱性を悪用する攻撃者はユーザーを誘導し、悪意のアーカイブまたは Web サイトを開かせることでコードを実行できる。それらのアーカイブ内に含まれる、巧妙に細工されたファイル・パスにより、攻撃者は意図されたディレクトリ外へファイルを書き込み、ユーザー権限で任意のコードを実行できる。
CISAのアドバイザリには、「この脆弱性を悪用するリモート攻撃者は、影響を受ける RARLAB WinRAR 上で任意コードを実行できる。この脆弱性を悪用する際の前提としては、標的ユーザーによる悪意のページへのアクセスもしくは、悪意のファイルを開くという操作が必要になる。この欠陥はアーカイブ・ファイル内のファイル・パス処理に存在し、細工されたファイル・パスにより、意図しないディレクトリへのプロセスの移動が生じる。この脆弱性を悪用する攻撃者は、ユーザーのカレント・コンテキストでコードを実行する可能性を得る」と記されている。なお、この脆弱性は whs3-detonator により報告された。
2つ目の脆弱性 CVE-2025-62221 は、Windows Cloud Files Mini Filter Driver における解放後メモリ使用 (use-after-free) に起因する欠陥である。何らかの権限を持つ攻撃者が、ローカル環境での権限昇格を可能にする。Microsoft のアドバイザリには、「この脆弱性を悪用する攻撃者は、SYSTEM 権限を取得する可能性がある」と記されている。
拘束力ある運用指令 (BOD) 22-01:既知の悪用が確認された脆弱性による、深刻なリスクを低減する必要がある。FCEB 機関は、カタログに記載された欠陥を悪用する攻撃からネットワークを保護するために、特定された脆弱性に対して、指定された期限内で対処する必要がある。CISAは連邦政府機関に対し、2025年12月30日までにこれらの脆弱性を修正するよう命じている。
専門家たちが民間組織に対し推奨するのは、KEV カタログを確認し、自組織インフラに存在する脆弱性へ対処することだ。
CISA が緊急で発表した脆弱性に関する記事です。1つ目の WinRAR の脆弱性 CVE-2025-6218 の原因は、ファイル圧縮/解凍ソフトがアーカイブ内のファイル・パスを扱う際に、意図しないディレクトリ外へファイルを書き込めてしまうという、パス・トラバーサルの欠陥にあります。この脆弱性を悪用する攻撃者は、悪意のあるファイルを秘密裏に実行できます。2つ目の Windows の脆弱性 CVE-2025-62221 の原因は、OSのドライバがメモリを解放した後も、誤ってそのメモリ領域を使ってしまう、解放後メモリ使用 (Use-After-Free) にあります。それにより、権限昇格が引き起こされる可能性があります。よろしければ、CISA KEV での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.