Microsoft 社が、2025 年 1 月の月例セキュリティ更新プログラムをリリースしました。159 件の脆弱性が含まれており、そのうち 12 件は「緊急」とされています。その他の脆弱性は「重要」と評価されました。
今月パッチが適用された「緊急」の脆弱性の中で注目すべきものの 1 つが CVE-2025-21309 です。これは、Windows リモート デスクトップ サービスに影響を及ぼすリモートコード実行の脆弱性です。この脆弱性がエクスプロイトされると、リモート デスクトップ ゲートウェイの役割が有効になっているシステムで任意のコードが実行される可能性があります。この脆弱性の CVSS 3.1 スコアは 8.1 であり、Microsoft 社によると「悪用される可能性が高い」とのことです。
Windows の Object Linking and Embedding(OLE)における別の注目すべきリモートコード実行の脆弱性にも、今月パッチが適用されました。この脆弱性 CVE-2025-21298 は、リモートからエクスプロイト可能な「緊急」の脆弱性であり、脆弱なバージョンの Microsoft Outlook を実行している被害者に悪意のあるメールを送信することでトリガーされる可能性があります。攻撃者がこの脆弱性のエクスプロイトに成功すると、脆弱なシステムで任意のコードを実行できるようになり、被害者が悪意のあるメールをプレビューした場合にトリガーされる可能性があります。この脆弱性の CVSS 3.1 スコアは 9.8 です。Microsoft 社は、この脆弱性に対する緩和策として RTF を無効にすることを推奨しています。
CVE-2025-21294 は、複数のバージョンの Windows および Windows Server に影響する Microsoft ダイジェスト認証の「緊急」の脆弱性です。攻撃者がこの脆弱性のエクスプロイトに成功すると、脆弱なシステムで任意のコードを実行できるようになります。この脆弱性をエクスプロイトするには、競合状態に勝つ必要があります。
CVE-2025-21295 は、SPNEGO Extended Negotiation(NEGOEX)セキュリティメカニズムにおける「緊急」のリモートコード実行の脆弱性です。攻撃者がこの脆弱性のエクスプロイトに成功すると、脆弱なシステムで任意のコードを実行できるようになります。この脆弱性をエクスプロイトする際、ユーザーの操作は必要ありません。
CVE-2025-21296 は、BranchCache における「緊急」のリモートコード実行の脆弱性です。攻撃者がこの脆弱性をエクスプロイトすると、脆弱なシステムで任意のコードを実行できるようになります。Microsoft 社によると、この脆弱性をエクスプロイトするには、攻撃者が同じネットワーク上にいる必要があります。
CVE-2025-21297 も「緊急」のリモートコード実行の脆弱性であり、Windows リモート デスクトップ サービスに存在します。Microsoft 社によると、この脆弱性のエクスプロイトに成功するには競合状態に勝つ必要があり、「悪用される可能性は低い」とのことです。この脆弱性は、Windows Server の複数のバージョンに影響します。
CVE-2025-21298 は、Windows の Object Linking and Embedding(OLE)における「緊急」のリモートコード実行の脆弱性です。攻撃者が脆弱なシステムで任意のコードを実行できるようになります。Microsoft 社は、この脆弱性に対する緩和策として RTF を無効にすることを推奨しています。
CVE-2025-21307 は、Windows Reliable Multicast Transport Driver(RMCAST)における「緊急」のリモートコード実行の脆弱性です。この脆弱性がエクスプロイトされると、細工されたパケットを脆弱なシステムに送信することで、認証されていない攻撃者が任意のコードを実行できるようになります。
CVE-2025-21311 は、NTLMv1 における「緊急」の特権昇格の脆弱性です。この脆弱性はリモートでエクスプロイトされる可能性があり、攻撃者が脆弱なシステムへのアクセスレベルを高める可能性があります。Microsoft 社は、この脆弱性に対する緩和策として NTLMv1 の使用を無効にすることを推奨しています。
CVE-2025-21362 は、Microsoft Excel における「緊急」のリモートコード実行の脆弱性です。攻撃者がこの脆弱性をエクスプロイトすると、脆弱なシステムで任意のコードを実行できるようになります。この脆弱性は、プレビューウィンドウを介してトリガーされる可能性もあります。
CVE-2025-21380 は、Azure Marketplace SaaS リソースに影響を及ぼす「緊急」の情報漏洩の脆弱性です。Microsoft 社によると、攻撃者による情報漏洩が可能になるこの脆弱性には緩和策が講じられています。
CVE-2025-21385 は、Microsoft Purview に影響を及ぼす「緊急」の情報漏洩の脆弱性です。この脆弱性は、Microsoft 社が緩和策を講じたと報告しているサーバーサイド リクエスト フォージェリ(SSRF)の脆弱性に起因します。
Microsoft 社が「重要」と評価し、「悪用される可能性が高い」としている脆弱性も以下に挙げておきます。
- CVE-2025-21189 – MapUrlToZone のセキュリティ機能のバイパスの脆弱性
- CVE-2025-21210 – Windows BitLocker の情報漏洩の脆弱性
- CVE-2025-21219 – MapUrlToZone のセキュリティ機能のバイパスの脆弱性
- CVE-2025-21268 – MapUrlToZone のセキュリティ機能のバイパスの脆弱性
- CVE-2025-21269 – MapUrlToZone のセキュリティ機能のバイパスの脆弱性
- CVE-2025-21292 – Windows Search サービスの特権昇格の脆弱性
- CVE-2025-21299 – Windows Kerberos のセキュリティ機能のバイパスの脆弱性
- CVE-2025-21314 – Windows SmartScreen スプーフィングの脆弱性
- CVE-2025-21315 – Microsoft Brokering File System の特権昇格の脆弱性
- CVE-2025-21328 – MapUrlToZone のセキュリティ機能のバイパスの脆弱性
- CVE-2025-21329 – MapUrlToZone のセキュリティ機能のバイパスの脆弱性
- CVE-2025-21354 – Microsoft Excel のリモートコード実行の脆弱性
- CVE-2025-21364 – Microsoft Excel のセキュリティ機能のバイパスの脆弱性
- CVE-2025-21365 – Microsoft Word のリモートコード実行の脆弱性
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org
で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、64432 ~ 64436、64444 ~ 64457 です。Snort 3 ルールもあり、301113、301114、301117 ~ 301123 です。
本稿は 2025 年 1 月 14 日にTalos Group
Authors