マイクロソフトは2025年11月の月例パッチ「パッチチューズデー」において、60件を超える脆弱性(CVE)に対するセキュリティ更新プログラムを公開しました。その中でも特に注目されるのは、実際に攻撃に利用されているWindowsカーネルのゼロデイ脆弱性CVE-2025-62215です。この脆弱性は、ローカル環境において低い権限を持つ攻撃者がカーネルメモリを破壊し、システム権限を昇格させることを可能にするものです。セキュリティ企業Action1の社長兼共同創業者であるマイク・ウォルターズ氏によれば、この脆弱性は競合状態と二重解放の欠陥を利用しており、攻撃にはローカルコードの実行またはローカルアクセス、そして競合状態のタイミングを成功させる必要があると指摘しています。攻撃の成功には、プールグルーミングや同時スレッド処理といった複雑で不安定な要素が求められますが、攻撃者は低い権限のみで、ユーザーの操作を必要とせずに攻撃を実行できる点が脅威です。
ウォルターズ氏は、この脆弱性が他の脆弱性と組み合わされることで、サーバーの侵害、大量の認証情報漏洩、水平展開、そしてランサムウェアの展開を可能にする重大な脅威になり得ると警告しています。リモートコード実行(RCE)やサンドボックスエスケープと組み合わせることで、リモート攻撃がシステム全体の制御を奪う攻撃へと発展する可能性があり、初期段階での低い権限の足がかりが、認証情報の窃取や水平展開につながる危険性があります。この脆弱性の悪用には高度な技術が必要とされるものの、攻撃に成功した場合の影響は甚大であり、早急な対策が求められます。
さらに、マイクロソフトはWindows 10のサポート終了に伴い、拡張セキュリティ更新プログラム(ESU)の提供を開始しましたが、一部のユーザーがESUへの登録に失敗する問題が発生しました。これに対し、マイクロソフトは緊急の帯域外アップデート(KB5071959)をリリースし、この問題を解決しました。このアップデートにより、一般ユーザーのデバイスもESUウィザードを使用してESUに登録できるようになりました。
今回のパッチチューズデーでは、特権昇格(EoP)の脆弱性が29件、リモートコード実行(RCE)の脆弱性が16件、セキュリティ機能バイパスのバグが2件修正されました。4件の深刻な脆弱性のうち、2件がRCE、1件がEoP、そして残りの1件が情報漏洩の脆弱性です。これらの脆弱性に対する迅速な対応が、システムの安全性を維持するために不可欠です。
GDI+ライブラリの重大なRCE脆弱性CVE-2025-60724
今回のパッチチューズデーで特に注目すべきは、GDI+(Graphics Device Interface)ライブラリに存在するリモートコード実行(RCE)の脆弱性CVE-2025-60724です。この脆弱性は、CVSSスコアが9.8と非常に高く評価されており、Windowsの中核コンポーネントであるGDI+ライブラリが2Dグラフィックス、画像、テキストのレンダリングに使用される際に影響を及ぼします。セキュリティ企業Immersiveの主任サイバーセキュリティエンジニアであるベン・マッカーシー氏は、この脆弱性の危険性を強調し、迅速なパッチ適用を強く推奨しています。
マッカーシー氏によると、この脆弱性は、サーバー側のアプリケーションが特別に細工されたメタファイルを自動的に解析する際に、脆弱なGDI+ライブラリが呼び出されることで発生します。これにより、ヒープオーバーフローが発生し、攻撃者がメモリを破壊し、サーバー上でRCEを実行できるようになります。この脆弱性は、ユーザーが提供したドキュメントを処理するシステムにおいて特にリスクが高く、パッチの適用が最優先事項であると指摘されています。攻撃者は、ファイルを公開されているWebアプリケーションにアップロードするだけでこの脆弱性を悪用できるため、注意が必要です。
GDI+ライブラリは、Windowsのグラフィカルなインターフェースを構成する重要な要素であり、多くのアプリケーションで利用されています。そのため、この脆弱性が悪用された場合、広範囲にわたるシステムに影響が及ぶ可能性があります。特に、Webサーバーやファイルサーバーなど、外部からのファイルを受け入れるシステムは、攻撃の標的となりやすいと考えられます。企業や組織は、この脆弱性に対するパッチを迅速に適用し、システムの安全性を確保する必要があります。
マイクロソフトは、この脆弱性に対する修正プログラムを公開しており、Windows Updateを通じて配布されています。システム管理者は、速やかに更新プログラムを適用し、脆弱性を解消することが重要です。また、脆弱性の悪用を防ぐために、Webアプリケーションのセキュリティ設定を見直し、不審なファイルのアップロードを制限するなどの対策を講じることも有効です。
Windows GDIにおける新たな脆弱性の発見
Windows Graphics Device Interface(GDI)における一連の未知の脆弱性が、マイクロソフトによる修正パッチのリリース後に明らかになりました。これらの脆弱性は、リモートコード実行や情報漏洩を可能にする可能性があり、Windowsのグラフィックス処理に関連する攻撃対象領域の理解を深める上で重要な発見です。これらの問題は、不正な形式の拡張メタファイル(EMF)およびEMF+レコードが、画像レンダリング中にメモリ破壊を引き起こすことに起因します。
これらの脆弱性は、2025年5月、7月、8月のパッチチューズデーアップデートに含まれており、その後、詳細な分析が行われました。脆弱性の発見は、WindowsのGDI操作、特にベクターグラフィックス、テキスト、印刷操作を処理するGdiPlus.dllおよびgdi32full.dll内で行われました。EMF形式を対象としたファジングキャンペーンが、これらの発見に直接つながりました。
Check Point Research(CPR)は、セキュリティ修正が実装された後、これらの脆弱性に対する意識を高め、Windowsユーザーに防御的な洞察と軽減策を提供するために、ブログを公開しました。研究者たちは、注意深く構造化されたメタファイルを通じて、境界外メモリアクセスが引き起こされることを示しました。攻撃者は、制御された値をバッファ制限を超えて書き込んだり、意図された境界を超えてメモリを読み取ったりすることができ、特定のシナリオではユーザーの操作なしに機密情報にアクセスしたり、システムを侵害したりする可能性があります。
これらの脆弱性は、複雑なグラフィックスパイプラインが信頼できないコンテンツを受け入れることに関連する継続的なリスクを浮き彫りにしています。研究者たちは、積極的なパッチ適用と防御的な意識の重要性を強調し、これらのバグがMicrosoft Office for MacおよびAndroidにも影響を与えていることを指摘しました。
発見された3つの脆弱性の詳細
今回発見された脆弱性は、以下の3つです。
- -CVE-2025-30388: 重要と評価され、悪用される可能性が高いとされています。
- -CVE-2025-53766: 深刻と評価され、リモートコード実行を可能にします。
- -CVE-2025-47984: 重要と評価され、情報漏洩に関連しています。
これらの脆弱性はすべて、注意深く構造化されたメタファイルを通じてトリガーされる境界外メモリアクセスに関連しています。ある脆弱性は、無効な長方形オブジェクトを中心に展開され、攻撃者がテキストレンダリング中にメモリ書き込みに影響を与えることを可能にします。別の脆弱性は、サムネイル生成中のスキャンライン境界チェックをバイパスします。3番目の脆弱性は、印刷ジョブの初期化における文字列処理に関連しており、null終端の仮定が失敗した場合にヒープデータを公開します。
攻撃者は、巧妙に作成されたEMF+ファイルを使用して、色とアルファの値、ヒープ割り当ての動作、およびポインタ計算を操作することができます。これにより、攻撃者はバッファ制限を超えて制御された値を書き込んだり、意図された境界を超えてメモリを読み取ったりすることが可能になります。その結果、機密情報へのアクセスや、ユーザーの操作なしにシステムを侵害する可能性があります。これらの脆弱性は、Windowsのグラフィックス処理における潜在的な攻撃経路を浮き彫りにしています。
脆弱性への対策と今後の展望
今回のGDIにおける脆弱性の発見は、複雑なグラフィックスパイプラインが信頼できないコンテンツを受け入れることに関連する継続的なリスクを強調しています。これらの脆弱性は、攻撃者にとって新たな攻撃経路となり得るため、企業や組織は、これらの脆弱性に対する対策を講じることが重要です。マイクロソフトは、これらの脆弱性に対する修正プログラムを公開しており、Windows Updateを通じて配布されています。システム管理者は、速やかに更新プログラムを適用し、脆弱性を解消することが重要です。
さらに、脆弱性の悪用を防ぐために、Webアプリケーションのセキュリティ設定を見直し、不審なファイルのアップロードを制限するなどの対策を講じることも有効です。また、セキュリティ意識向上トレーニングを実施し、従業員が不審なファイルやリンクを開かないように注意を促すことも重要です。これらの対策を講じることで、GDIにおける脆弱性の悪用による被害を最小限に抑えることができます。
今回の脆弱性の発見は、ソフトウェア開発者にとっても重要な教訓となります。ソフトウェア開発者は、セキュリティを考慮した設計と実装を徹底し、脆弱性のないソフトウェアを開発することが重要です。また、脆弱性が見つかった場合には、迅速に修正プログラムを公開し、ユーザーに提供することが求められます。セキュリティ企業や研究者は、脆弱性の発見と分析を通じて、ソフトウェアのセキュリティ向上に貢献することが期待されます。
今後も、新たな脆弱性が発見される可能性があります。企業や組織は、常に最新のセキュリティ情報を収集し、脆弱性に対する対策を講じることが重要です。また、セキュリティ企業や研究者との連携を強化し、脆弱性に関する情報を共有することで、より効果的な対策を講じることができます。サイバーセキュリティの脅威は常に進化しており、企業や組織は、常に最新の脅威に対応できるよう、セキュリティ体制を強化していく必要があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Microsoft Fixes Windows Kernel Zero Day in November Patch Tuesday - https://www.infosecurity-magazine.com/news/microsoft-windows-kernel-zero-day/
- -New GDI Flaws Could Enable Remote Code Execution in Windows - https://www.infosecurity-magazine.com/news/gdi-flaws-enable-rce-windows/