Microsoft 社が、2025 年 4 月の月例セキュリティ更新プログラムをリリースしました。さまざまな製品に影響する 126 件の脆弱性が含まれており、そのうち 11 件は「緊急」とされています。
Microsoft 社によると、今月リリースされた脆弱性で、実際の悪用が確認されたものはないとのことです。11 件の「緊急」の脆弱性は、すべてリモートコード実行(RCE)の脆弱性であり、そのうち 4 件は「悪用される可能性が高い」とされています。
リストアップされた「緊急」の脆弱性のうち 2 件は、Windows リモートデスクトップ サービスのコンポーネントに影響を与えます。
CVE-2025-27480 および CVE-2025-27482 は、リモートデスクトップ ゲートウェイ サービスのコンポーネントにおける RCE の脆弱性です。両方とも、CVSS 3.1 のスコアは 8.1 となっています。これらの脆弱性をエクスプロイトするために、攻撃者がリモートデスクトップ ゲートウェイ ロールを持つシステムに接続し、競合状態を引き起こして解放済みメモリ使用(use-after-free)の状況を生み出す可能性があります。これにより、任意コードの実行が可能になる場合があります。Microsoft 社は、攻撃条件の複雑さは「高」で、「悪用される可能性が高い」と評価しています。
CVE-2025-26663 は、Windows の Lightweight Directory Access Protocol(LDAP)における RCE の脆弱性であり、CVSS 3.1 スコアは 8.1 です。この脆弱性をエクスプロイトするために、細工された LDAP 呼び出しを攻撃者が送信して解放済みメモリ使用の脆弱性を引き起こす可能性があり、その場合、LDAP サービスのコンテキストで任意のコードの実行が可能になります。攻撃者は、悪意のあるリンクを含む電子メールまたはメッセージを被害者に送信することによって攻撃を始める可能性があります。Microsoft 社は、この脆弱性は「悪用される可能性が高い」と評価しており、攻撃条件の複雑さは「高」となっています。
CVE-2025-26670 は、Lightweight Directory Access Protocol(LDAP)クライアントにおける RCE の脆弱性であり、CVSS 3.1 ベーススコアは 8.1 です。攻撃者は、脆弱性のある LDAP サーバーに細工された LDAP リクエストを連続して送信することによって、この脆弱性をエクスプロイトする可能性があります。攻撃者が競合状態に勝つと脆弱性がエクスプロイトされ、それが原因で解放済みメモリ使用の状態に陥り、任意のコードが実行できるようになる可能性があります。Microsoft 社は、この脆弱性は「悪用される可能性が高い」としており、攻撃条件の複雑さは「高」とのことです。
CVE-2025-26686 は、Windows の TCP/IP における RCE の脆弱性であり、CVSS 3.1 ベーススコアは 7.5 です。この脆弱性は、Windows の TCP/IP におけるメモリロックが不適切なことに起因し、攻撃者がネットワーク経由で任意のコードを実行できるようになる可能性があります。攻撃者がこれをエクスプロイトするには、ユーザーが接続を開始して DHCPv6 を送信するのを待たなければなりません。攻撃者はこれに対し、偽の IPv6 アドレスを含んだ DHCPv6 応答で返信します。エクスプロイトに成功するには、攻撃者が競合状態に勝ち、標的の環境で事前にいくつかの準備を行う必要があります。このように複雑なので、Microsoft 社はこの脆弱性が「悪用される可能性は低い」と判断しています。
CVE-2025-27491 は、Windows の Hyper-V における RCE の脆弱性であり、CVSS 3.1 ベーススコアは 7.1 です。攻撃者がネットワークのゲスト権限を使用し、被害者を騙して悪意のあるサイトへのリンクをクリックさせることで、この脆弱性をエクスプロイトする可能性があります。Microsoft 社は、この脆弱性が「悪用される可能性は低い」とし、攻撃条件の複雑さは「高」と判断しています。
CVE-2025-29791 は、Microsoft Excel における RCE の脆弱性であり、CVSS 3.1 ベーススコアは 7.8 です。攻撃者は、開くと型の取り違えを引き起こすように細工したドキュメントを被害者に送信することにより、この脆弱性をエクスプロイトする可能性があります。この型の取り違えが引き起こされると、任意のコード実行につながる可能性があります。Microsoft 社は、この脆弱性が「悪用される可能性は低い」と評価しています。
CVE-2025-27752 は、Microsoft Excel における別の RCE の脆弱性であり、CVSS 3.1 ベーススコアは 7.8 です。これはヒープオーバーフローの脆弱性であり、ローカルで任意のコードを実行することによりエクスプロイトすることができます。この脆弱性は「悪用される可能性は低い」と評価されています。
CVE-2025-27745、CVE-2025-27748、および CVE-2025-27749 は、Microsoft Office における RCE の脆弱性であり、CVSS 3.1 ベーススコアはすべて 7.8 です。これらの脆弱性を攻撃者がエクスプロイトして、解放済みメモリ使用の状況を引き起こす可能性があり、その場合、任意のコード実行が可能になります。Microsoft 社はそれぞれの脆弱性について、「悪用される可能性は低い」と判断しています。
Talos は、Microsoft 社が「悪用される可能性が高い」と判断している、以下の「重要」な脆弱性にも注目しています。
- CVE-2025-27472:Windows Mark of the Web セキュリティ機能のバイパスの脆弱性
- CVE-2025-27727:Windows インストーラの特権昇格の脆弱性
- CVE-2025-29792:Microsoft Office の特権昇格の脆弱性
- CVE-2025-29793:Microsoft SharePoint のリモートコード実行の脆弱性
- CVE-2025-29794:Microsoft SharePoint のリモートコード実行の脆弱性
- CVE-2025-29809:Windows Kerberos のセキュリティ機能のバイパスの脆弱性
- CVE-2025-29812:DirectX グラフィックカーネルの特権昇格の脆弱性
- CVE-2025-29822:Microsoft OneNote のセキュリティ機能のバイパスの脆弱性
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org
で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、58316、58317、64432、64746 ~ 64757、64760 ~ 64762 です。Snort 3 のルールである 301176 ~ 301179 もあります。
本稿は 2025 年 4 月 8 日にTalos Group
Authors