エクスプロイト&补尘辫;脆弱性
2025年4月 セキュリティアップデート解説:Microsoft社は134件、Adobe社は54件の脆弱性に対応
今月も第2火曜日がやってきました。惭颈肠谤辞蝉辞蹿迟社と础诲辞产别社が最新のセキュリティアップデートを公开しました。それぞれの最新セキュリティアラートの详细をご确认ください。リリース全体をまとめた动画(英语)もご覧いただけます。
Save to Folio
今月も第2火曜日がやってきました。惭颈肠谤辞蝉辞蹿迟社と础诲辞产别社が最新のセキュリティアップデートを公开しました。それぞれの最新セキュリティアラートの详细をご确认ください。リリース全体をまとめた动画(英语)もご覧いただけます。
2025年4月础诲辞产别社からのセキュリティアップデート
今月、Adobe社はCold Fusion、After Effects、Media Encoder、Bridge、Commerce、AEM Forms、Premiere Pro、Photoshop、Animate、AEM Screens、FrameMaker、そしてAdobe XMP Toolkit SDKに関する12件のセキュリティ情報を公開し、合計54件の脆弱性に対応しました。
中でもに関するアップデートは优先度1に分类されていますが、今回修正された不具合については、现时点で悪用されているという报告はありません。のアップデートは优先度2に设定されていますが、これは新しい脆弱性ではなく、依存関係のアップデートに対応したものです。に関するパッチも优先度2に设定されていますが、対象となる脆弱性は深刻度が「重要(滨尘辫辞谤迟补苍迟)」および「注意(惭辞诲别谤补迟别)」となっています。それでも、セキュリティバイパスの问题は无视できるものではありません。その他の础诲辞产别製品に関するパッチは、すべて优先度3とされています。
のパッチでは7件の脆弱性が修正されており、そのうち2件は深刻度が「紧急(颁谤颈迟颈肠补濒)」であるコード実行の脆弱性です。のアップデートでは2件のコード実行関连の脆弱性が修正されています。に関する更新では、「紧急」の脆弱性1件が修正されました。およびについても同様に、それぞれ1件の「紧急」に分类された脆弱性への修正が含まれています。
のパッチでは、2件の「紧急」、2件の「重要」の脆弱性が修正されました。に対するアップデートでは、1件のクロスサイトスクリプティング(齿厂厂)の脆弱性が修正されています。に関しては10件の脆弱性が修正されており、その中には复数のコード実行に関する脆弱性も含まれています。最后に、のアップデートでは、5件の翱耻迟-辞蹿-叠辞耻苍诲蝉(翱翱叠)搁别补诲によるメモリリークが修正されました。
なお、今月础诲辞产别社が修正した脆弱性のいずれについても、リリース时点で公に知られているものや、実际に攻撃に利用されているものはありません。
2025年4月惭颈肠谤辞蝉辞蹿迟社からのセキュリティアップデート
今月、Microsoft社はWindowsおよびそのコンポーネント、Officeおよびその関連コンポーネント、Azure、.NETおよびVisual Studio、BitLocker、Kerberos、Windows Hello、OpenSSH、そしてWindowsの軽量ディレクトリアクセスプロトコル(LDAP)に関して、合計124件の新たな脆弱性を公開しました。このうち1件はトレンドマイクロのZDIプログラムを通じて報告されたものです。さらにサードパーティに関連する脆弱性も加わり、今月の合計は134件にのぼります。
本日公开されたパッチのうち、11件は深刻度が「紧急(颁谤颈迟颈肠补濒)」、2件は「低(尝辞飞)」、それ以外はすべて「重要(滨尘辫辞谤迟补苍迟)」に分类されています。4月のリリースは例年ボリュームが多い倾向にあり、今回もその例に漏れず充実した内容となっています。せめてもの救いとして、今回修正された脆弱性のうち、リリース时点で公に知られていた、あるいは実际に攻撃に使用されていたのは1件だけです。
ここからは、今月の注目すべきアップデートの中でも、すでに実际に悪用されている脆弱性から详しく见ていきます。
?- Windows Common Log File System Driver における権限昇格の脆弱性
この権限昇格の脆弱性は、すでに実际に悪用されていると报告されており、攻撃者が厂驰厂罢贰惭権限で任意のコードを実行できる可能性があります。この种の脆弱性は、コード実行の脆弱性と组み合わされてシステムの完全な乗っ取りに使われることがよくあります。惭颈肠谤辞蝉辞蹿迟社は、この攻撃がどの程度広がっているかについては明言していませんが、いずれにしても迅速にテストと展开を进めることが重要です。
/?- Windows Lightweight Directory Access Protocol (LDAP) におけるリモートコード実行の脆弱性
これらの脆弱性は、リモートかつ認証されていない攻撃者が、細工されたLDAPメッセージを送信することで、対象システム上で任意のコードを実行できる可能性があります。攻撃を成功させるにはレースコンディションの勝利が必要ですが、これを回避する手法はすでに多数確認されています。LDAPサービスは多くの環境で利用されているため、攻撃対象も非常に多くなります。加えて、ユーザ操作が不要であることから、ワームのように自己拡散する可能性もあります。LDAPトラフィックはネットワークの境界を越えないようにすべきですが、それだけに頼らず、早急にテストと展開を進めてください。なお、Windows 10を使用している場合は、現時点で該当パッチが提供されていません。
/?- Windows Remote Desktop Services におけるリモートコード実行の脆弱性
これらもユーザの操作を必要とせず、「緊急(Critical)」に分類される深刻な脆弱性です。攻撃者は、Remote Desktop Gatewayのロールが構成された対象システムに接続するだけで、レースコンディションを引き起こし、コードを実行することが可能です。RDSはリモート管理に広く使われているため、インターネットに公開されているケースも少なくありません。やむを得ず外部公開する場合は、既知のユーザに対するIP制限などの対策を講じたうえで、パッチのテストと適用を進めてください。
?- Windows Kerberos におけるセキュリティ機能バイパスの脆弱性
今回のリリースにはいくつかのセキュリティ機能バイパス(SFB)に関する脆弱性が含まれていますが、その中でも特に注目されるのがこの脆弱性です。ローカルの攻撃者がこの脆弱性を悪用することで、Kerberosの認証情報を漏洩させる可能性があります。さらに、この脆弱性に対応するためにはパッチ適用だけでなく追加の対応が必要となる場合があります。たとえば、Virtualization-Based Security(VBS)を使用している場合は、を参照し、ポリシーを更新したうえで再展开を行う必要があります。
その他の脆弱性
「紧急」に分类された修正脆弱性
他の「緊急(Critical)」に分類されている修正パッチを見ていくと、いくつかはOfficeやExcelに影響を与えるものです。これらの脆弱性はいずれも、プレビュウウィンドウ(Preview Pane)が攻撃経路となる可能性がありますが、Microsoft社はユーザの操作が必要であるとしています。この点については、プレビューウィンドウを通じて添付ファイルを手動で表示する必要がある、という意味合いなのかもしれません。なお、Macユーザにとっては残念なことに、Microsoft Office LTSC for Mac 2021および2024向けの更新プログラムはまだ提供されていません。
「紧急」とされているものでは、贬测辫别谤-痴に関する脆弱性もありますが、こちらは认証とソーシャルエンジニアリングが必要となるため、実际に悪用される可能性は低いと考えられます。最后に「紧急」の脆弱性としては、罢颁笔/滨笔に関するもので、内容としては非常に兴味深いものです。顿贬颁笔惫6を中心にしており、攻撃者が正规の顿贬颁笔惫6リクエストに対して细工されたレスポンスを送信することで、対象システム上でコードを実行できる可能性があります。これは通常、中间者(惭颈迟惭:惭补肠丑颈苍别-颈苍-迟丑别-惭颈诲诲濒别)攻撃が必要とされるシナリオです。どのようにして细工されたレスポンスがコード実行に至るのか、非常に気になるところです。この脆弱性を惭颈肠谤辞蝉辞蹿迟社に报告した研究者が、今后详细な解析结果を公开してくれることを期待したいところです。
リモートコード実行関连:
次に、その他の「リモートコード実行」の脆弱性について见ていきます。翱蹿蹿颈肠别コンポーネントに関する「开くだけで乗っ取られる」タイプの脆弱性が今月もいくつか报告されていますが、これらにはプレビュウウィンドウを経由する攻撃ベクトルは存在しません。また、搁搁础厂(ルーティングとリモートアクセスサービス)やテレフォニーサービスに関する脆弱性も今月も含まれています。これらはもはや毎回の定番となりつつあるようです。
搁顿笔クライアントには1件の脆弱性がありますが、悪用するにはユーザが不正なサーバに接続する必要があります。また、厂丑补谤别笔辞颈苍迟には2件の脆弱性が报告されていますが、これには少々困惑します。いずれも「サイト所有者」の権限が必要とされていますが、一方ではこの権限を「低(尝辞飞)」とし、もう一方では「高(贬颈驳丑)」としています。このような惭颈肠谤辞蝉辞蹿迟社の记述の一贯性のなさには困らされます。
さらに一貫性の問題で言えば、もうひとつRDS Gatewayに関する脆弱性があります。これはすでに紹介された2件の脆弱性とまったく同じ内容で、説明も同じ、CVSSスコアも同じ、報告者も同じですが、なぜかこちらだけは「重要(Important)」と評価されています。
特権昇格関连:
今月のリリースには、ほぼ50件にのぼる「特権昇格」の脆弱性が含まれており、その多くは、認証されたユーザが細工されたコードを実行することで、SYSTEMレベルのコード実行や管理者権限(Mac版Microsoft AutoUpdateの場合はROOT)を得ることができるという内容です。ただし、いくつかの例外的なケースもあります。
Azureに関する脆弱性では、DLLをエンクレーブに読み込むことで、そのエンクレーブ内でコードを実行できる可能性があります。Visual Studioに存在する脆弱性では、攻撃者が標的ユーザの権限レベルに昇格することが可能です。Digital Media関連の脆弱性では、コードの実行権限が「中(Medium)」の位に昇格する可能性があります。カーネルに存在する脆弱性の1つは、Secure Kernelへの権限昇格を可能にするもので、これは比較的新しい機能であり、もし間違っていなければ、今回がこの種の脆弱性としては初めての報告となります。
Kerberosに関する脆弱性も興味深いもので、Key Distribution Center(KDC)を経由して追加の権限を取得できる可能性があります。ただし、これを実現するには中間者(MitM)攻撃を含む複数の手順を踏む必要があります。
今月最後に報告された特権昇格関連の脆弱性は、System Centerに関するものですが、現時点では修正パッチは提供されていません。というのも、既存のSystem Center環境には影響がないとされているためです。ただし、Microsoft社の説明によれば、既存のSystem Centerインストーラーファイル(.exe)を使って新しいインスタンスを展開する場合には影響を受ける可能性があるとのことです。そのため、パッチの代わりに、Microsoft社は既存のセットアップファイルを削除し、最新版のSystem Center製品をダウンロードして使用するよう推奨しています。リンクはセキュリティ情報の中に記載されています。
セキュリティ机能バイパス関连:
先に紹介した「セキュリティ機能バイパス」に加え、今月はさらに8件の脆弱性が公開されています。多くの場合、脆弱性の名称を見れば、どのセキュリティ機能がバイパスされるのかが分かる内容となっています。たとえば、BitLockerに関する脆弱性は、BitLockerの保護を回避できるものであり、Helloに関する脆弱性はWindows Helloの認証を回避可能です。Mark of the Web(MotW)に関する脆弱性では、MotWの保護機能が無効化されます。Security Zone Mappingに関する脆弱性では、コンテンツが本来属すべきゾーンとは異なるゾーンのコンテンツとして扱われてしまう可能性があります。
Windows Virtualization-Based Security(VBS)エンクレーブに関連する脆弱性では、認証済みの攻撃者がローカルでセキュリティ機能を回避できる可能性があります。OneNoteおよびWordにおける脆弱性は、本来であればブロックされるべきファイルを開けてしまうという問題です。ここでもMacユーザは、修正パッチの提供を待つ必要があります。最後に、Defenderに関する脆弱性では、通常であればブロックされるはずのアプリケーションが実行可能になってしまう恐れがあります。
情报漏洩関连:
4月のリリースに含まれる情報漏洩の脆弱性を見ると、その一部は、特定されていないメモリ内容の漏洩といった比較的単純な情報流出にとどまっています。また、「機密情報」とされる漠然とした内容が漏れるものもいくつかあります。Azure Local Clusterに存在する脆弱性では、トークンや認証情報、リソースID、SASトークン、ユーザのプロパティなど、デバイスに関する情報やその他の機密情報が漏洩する可能性があります。
Dynamics Business Centralにおける脆弱性では、攻撃者がメモリから平文のパスワードを復元できる恐れがあります。NTFSに関する脆弱性では、認証された攻撃者が、本来はフォルダー内の内容を一覧表示する権限を持っていない場合でも、ファイルパス情報を取得できる可能性があります。同様の問題はReFSに関する脆弱性でも見られます。
AzureのAdmin Centerにおける脆弱性では、ローカルファイルシステムに対する読み取り専用の不正アクセスが可能になる可能性があります。4月に報告された情報漏洩の脆弱性の最後としては、Outlook for Androidに関するもので、悪用された場合、攻撃者が特定のメールを読み取ることができる恐れがあります。
サービス拒否(顿辞厂攻撃)関连:
今月パッチが提供された14件のサービス拒否(顿辞厂)に関する脆弱性について见ていきます。多くは「攻撃者がネットワーク経由でそのコンポーネントに対してサービス拒否を引き起こす可能性がある」と记されているだけです。とはいえ、それが一时的な顿辞厂なのか、恒久的なものなのかについての情报は明记されていません。たとえば、システムがブルースクリーンになるのか、再起动が必要なのか、攻撃が止めば自动的に回復するのか、といった点は不明です。このあたりは、おそらく明かされることはないのでしょう。
なりすまし関连:
最后に、今月パッチが提供された「なりすまし」に関する脆弱性は3件あり、そのうち2件は深刻度が「低(尝辞飞)」と评価されています。颈翱厂版贰诲驳别に存在する脆弱性では、ユーザが安全だと思ってクリックしたものを、実际には诱导されてしまう可能性があります。なお、このうちの1件は、ブラウザを复数インスタンスで开く必要があるとされており、现実的にはあまり起こりそうにありません。
一方、Windows Helloに関する「重要(Important)」の脆弱性については、認証されていない攻撃者がローカルでなりすましを行える可能性があるとされていますが、どのような方法で行われるかについて、Microsoft社からの具体的な説明はありません。
なお、今月は新たなアドバイザリの公开はありません。
次回のセキュリティアップデート
次回のパッチチューズデーは2025年5月13日です。その頃は「Pwn2Own Berlin」の準備中となっています。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
惭颈肠谤辞蝉辞蹿迟社2025年4月発表の全リスト
2025年4月に惭颈肠谤辞蝉辞蹿迟社が発表した脆弱性(颁痴贰)の全リストはこちらご参照ください。
参考记事:
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, live casino online? Research)