マイクロソフト、63の脆弱性を修正 - うち2つは悪用されているゼロデイ

マイクロソフトは火曜日に、2025年2月のパッチ火曜日を発表し、63のセキュリティ脆弱性を修正しました。これには4つのゼロデイ脆弱性が含まれており、そのうち2つは実際に悪用されており、2つは公に公開されたゼロデイ脆弱性です。

63の脆弱性のうち、3つはクリティカル、53は重要、1つは中程度の深刻度です。

これらの脆弱性は、WindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、Azure、Visual Studio、リモートデスクトップサービスなど、さまざまなプラットフォームで発生しました。

さらに、「クリティカル」とマークされた3つの脆弱性は、2025年2月のパッチ火曜日で修正されました。これらはすべてリモートコード実行（RCE）脆弱性であり、悪用されると攻撃者がデバイス上で任意のコードを実行できる可能性があります。

さらに、マイクロソフトが2025年2月のパッチ火曜日の更新で対処した、実際に悪用されている2つのゼロデイ脆弱性は以下の通りです：

CVE-2025-21391 (CVSS 7.1) – Windowsストレージ特権昇格脆弱性

この特権昇格（EoP）脆弱性は、ローカルの認証された攻撃者がシステム上のターゲットファイルを削除できるようにします。

「攻撃者はシステム上のターゲットファイルを削除することしかできません。この脆弱性は機密情報の開示を許可するものではありませんが、サービスが利用できなくなる可能性のあるデータを含むデータを削除できる可能性があります」とマイクロソフトのアドバイザリーには記載されています。

この脆弱性が攻撃でどのように悪用されたか、また誰が報告したかについての詳細は明らかにされていません。

CVE-2025-21418 (CVSS 7.8) – Windows WinSock用補助機能ドライバ特権昇格脆弱性

2つ目の悪用されている脆弱性は、攻撃者が作成したプログラムを実行してWindowsでSYSTEM権限を取得できるようにします。

この脆弱性が攻撃でどのように悪用されたかは不明で、マイクロソフトは匿名で開示されたと述べています。

さらに、2025年2月のパッチ火曜日の更新で修正された他の2つの公に開示されたゼロデイは以下の通りです：

CVE-2025-21194 (CVSS 7.1) – Microsoft Surfaceセキュリティ機能バイパス脆弱性

マイクロソフトによると、このハイパーバイザーの脆弱性は、攻撃者がUEFIをバイパスし、Surfaceデバイスのセキュアカーネルを侵害することを可能にします。これはPixieFail脆弱性に関連している可能性があります。

「このハイパーバイザーの脆弱性は、統一拡張ファームウェアインターフェース（UEFI）ホストマシン内の仮想マシンに関連しています。特定のハードウェアでは、UEFIをバイパスすることが可能であり、これがハイパーバイザーとセキュアカーネルの侵害につながる可能性があります」とマイクロソフトのアドバイザリーには説明されています。

テクノロジー大手は、脆弱性を発見し報告したQuarkslabのFrancisco FalcónとIván Arceに感謝の意を表しました。

CVE-2025-21377 (CVSS 6.5) – NTLMハッシュ開示偽装脆弱性

この脆弱性は、WindowsユーザーのNTLMハッシュを露出させ、リモート攻撃者が最小限のファイル操作を通じてWindowsユーザーハッシュを盗むことを可能にし、潜在的にユーザーとしてログインできるようにします。

「ユーザーが悪意のあるファイルに対して最小限の操作を行う（単一クリックで選択、右クリックで検査、ファイルを開いたり実行したりする以外のアクションを実行する）ことで、この脆弱性が引き起こされる可能性があります」とマイクロソフトのアドバイザリーには説明されています。

マイクロソフトは、この脆弱性の発見をCathay PacificのOwen Cheung、Ivan Sheung、Vincent Yau、Securify B.V.のYorick Koster、0patch by ACROS SecurityのBlaz Satlerに帰しています。

2025年2月のパッチ火曜日のセキュリティ更新をインストールするには、設定 > 更新とセキュリティ > Windows Updateに移動し、更新プログラムの確認 ボタンをクリックしてください。

また、こちらで2025年2月のパッチ火曜日のセキュリティ更新でマイクロソフトが対処した脆弱性の完全なリストを確認することもできます。