Microsoft 社が、2025 年 3 月の月例セキュリティ更新プログラムをリリースしました。さまざまな製品に影響する 57 件の脆弱性が含まれており、そのうち 6 件は「緊急」とされています。
Microsoft 社が実際にエクスプロイト(悪用)を確認した脆弱性は 6 件あります。CVE-2025-26633 は、Microsoft の管理コンソールにおけるリモートコード実行(RCE)の脆弱性です。Windows NTFS における 2 件の情報漏洩の脆弱性(CVE-2025-24984、CVE-2025-24991)と 1 件の RCE の脆弱性(CVE-2025-24993)は、実際にエクスプロイトが確認されています。Microsoft 社は、Windows Fast FAT システムドライバにおける RCE の脆弱性である CVE-2025-24985 にもパッチを適用しました。この脆弱性も、実際にエクスプロイトされています。Windows win32 カーネルサブシステムにおける特権昇格(EOP)の脆弱性である CVE-2025-24983 も、実際にエクスプロイトされたことが確認されました。
注目すべき「緊急」の脆弱性が 2 件あります。1 つ目は、リモートコード実行(RCE)の脆弱性である CVE-2025-24035 で、Windows リモート デスクトップ ゲートウェイ(RD ゲートウェイ)サービスに影響を与えます。この脆弱性は、WebSocket の初期化処理と操作の終了処理に関する、リモートによる非認証の解放済みメモリ使用(UAF:User-after-free)の問題です。エクスプロイトされると、RD ゲートウェイプロセスで任意のコードが実行される可能性があります。この脆弱性のエクスプロイトに成功するには、RD ゲートウェイロールを持つシステムに接続する必要があります。CVE-2025-24035 の CVSS 3.1 スコアは 8.1 であり、Microsoft 社によると「悪用される可能性が高い」とのことです。
2 つ目は CVE-2025-24045 で、これも RD ゲートウェイサービスにおけるリモートコード実行の脆弱性です。接続コールバックと切断コールバックの処理に関する UAF の問題に起因します。この脆弱性のエクスプロイトに成功するには、RD ゲートウェイロールを持つシステムに接続する必要があります。この脆弱性も CVSS 3.1 スコアは 8.1 であり、Microsoft 社によると「悪用される可能性が高い」とのことです。
CVE-2024-9157 は、Windows アップデートで配布される Synaptics Audio Effect Component のサービスバイナリ DLL に存在する特権昇格の脆弱性です。この脆弱性は、Synaptics サービスが名前付きパイプを開く際に適切に設定された ACL を使用せず、クライアントが名前を指定した DLL を Synaptics プロセスに読み込むようになっていることに起因します。これにより、リモートの非特権ユーザーであっても、サービスのコンテキスト内で、悪意のある DLL を指定して読み込めるようになる可能性があります。この脆弱性の CVSS 3.1 スコアは 9.9 であり、Microsoft 社によると「悪用される可能性が高い」とのことです。
CVE-2025-24064 は、Microsoft 社が「緊急」と評価した、Windows ドメインネームサービス(DNS)の RCE の脆弱性です。エクスプロイトを成功させるには、タイミングを見計らって DNS 更新メッセージを脆弱なサーバーに送信する必要があります。これにより UAF エラーが発生し、リモートコード実行につながる可能性があります。この脆弱性の CVSS 3.1 スコアは 8.1 であり、Microsoft 社は「悪用される可能性は低い」と判断しています。
CVE-2025-24084 は、Windows Subsystem for Linux(WSL2)カーネルの RCE の脆弱性で、信頼できないポインタの逆参照に起因します。エクスプロイトを成功させるには、一般ユーザーが通常はアクセスできないプロセスを操作する必要があるため、標的のマシン上で昇格した特権が必要です。この脆弱性の CVSS 3.1 スコアは 8.4 ですが、Microsoft 社は「悪用される可能性は低い」と判断しています。
CVE-2025-26645 は、相対パストラバーサルの問題に起因するリモートデスクトップ(RDP)クライアントの脆弱性です。リモート デスクトップ サーバーを管理する攻撃者は、サービスに接続しているクライアントマシンが脆弱であれば、RCE が可能になります。この脆弱性の CVSS 3.1 スコアは 8.8 であり、Microsoft 社は「悪用される可能性は低い」と判断しています。
Microsoft 社が「重要」または「緊急」と評価している脆弱性のうち、以下に挙げたものにも Talos は注目しています。
- CVE-2025-24057 – Microsoft Office のリモートコード実行の脆弱性
- CVE-2025-24051 – Windows ルーティングとリモートアクセスサービス(RRAS)のリモートコード実行の脆弱性
- CVE-2025-24056 – Windows テレフォニーサービスのリモートコード実行の脆弱性
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org
で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、64663、64662、64432、64658、64659、64656、64657、64660、64661、64653、64652 です。Snort 3 ルール 64432、301166、301164、301163、301165、301162 もあります。
本稿は 2025 年 3 月 11 日にTalos Group
Authors