Microsoft 社が、2025 年 2 月の月例セキュリティ更新プログラムをリリースしました。さまざまな製品に影響する 63 件の脆弱性が含まれており、そのうち 4 件は「緊急」、1 件は「警告」とされています。
注目すべき「緊急」の脆弱性が 2 件あります。1 件目は CVE-2025-21376 で、これは Windows の Lightweight Directory Access Protocol(LDAP)に影響するリモートコード実行の脆弱性です。LDAP 内の競合状態によって引き起こされる境界外書き込み(OOBW)
の脆弱性であり、リモートから認証なしで書き込みを行えます。最終的に、ローカルセキュリティ機関サブシステムサービス(lsass.exe)で任意のコードが実行される危険性があります。lsass.exe は Microsoft Windows のオペレーティングシステムのプロセスであり、システムに対してセキュリティポリシーを適用する役割を持ちます。攻撃者がこの脆弱性のエクスプロイトに成功するには、競合状態に勝つ必要があります。CVE-2025-21376 の CVSS 3.1 スコアは 8.1 であり、Microsoft 社によると「悪用される可能性が高い」とのことです。
もう 1 件の注目すべき脆弱性が CVE-2025-21379 で、これも「緊急」のリモートコード実行の脆弱性です。DHCP クライアントサービスで発見され、やはり今月パッチが適用されました。攻撃者がこの脆弱性のエクスプロイトに成功すると、脆弱なシステムで任意のコードを実行できるようになります。攻撃者がネットワーク通信を傍受または改ざんするには、被害者が要求したリソースと被害者の間の論理ネットワーク経路に割り込む必要があります。この脆弱性の CVSS 3.1 スコアは 7.1 であり、Microsoft 社は「悪用される可能性は低い」と判断しています。
CVE-2025-21177 は、Microsoft Dynamics 365 Sales(CRM ソフトウェア)の特権昇格の脆弱性で、「緊急」と評価されています。サーバサイド リクエスト フォージェリ(SSRF)によって、認証された攻撃者がネットワーク経由で権限を昇格できるようになります。
CVE-2025-21381 は、Microsoft Excel に影響する「緊急」のリモートコード実行の脆弱性であり、脆弱なシステムで攻撃者が任意のコードを実行できるようになる危険性があります。この脆弱性は、影響を受けるアプリケーションのプレビューウィンドウを介してトリガーされる可能性があります。Microsoft 社によると、この脆弱性が「悪用される可能性は低い」とのことです。
CVE-2025-21368 と CVE-2025-21369 はリモートコード実行の脆弱性で、Microsoft 社は「重要」と評価しています。CVSS 3.1 スコアはいずれも 8.8 です。これらの脆弱性のエクスプロイトを成功させるために、攻撃者が標的のドメインコントローラに悪意のあるログオン要求を送信する可能性があります。認証された攻撃者であれば誰でもこれらの脆弱性をトリガーでき、管理者などの特権は必要ありません。
CVE-2025-21400 も Microsoft 社が「重要」としているリモートコード実行の脆弱性で、Microsoft SharePoint Server に影響を与えます。攻撃者がこの脆弱性のエクスプロイトに成功すると、脆弱なシステムで任意のコードを実行できるようになります。この攻撃では、クライアントが悪意のあるサーバーに接続する必要があり、攻撃者がクライアントでコードを実行できる可能性があります。Microsoft 社は、この脆弱性が「悪用される可能性が高い」と判断しています。
今月、実際に悪用されていることが分かっている脆弱性は、CVE-2025-21391 と CVE-2025-21418 だけで、2 件とも特権昇格の脆弱性です。CVE-2025-21391 を利用すれば、システムの重要なファイルを削除できます。CVE-2025-21418 は Ancillary Function Driver(AFD)の脆弱性であり、Winsock API を通じてローカルの特権昇格を行えます。この脆弱性をエクスプロイトすると、SYSTEM 権限を取得できます。
Microsoft 社が「重要」と評価している脆弱性のうち、以下に挙げたものにも Talos は注目しています。
- CVE-2025-21190 Windows テレフォニーサービスのリモートコード実行の脆弱性
- CVE-2025-21198 Microsoft ハイパフォーマンス コンピューティング(HPC)パックのリモートコード実行の脆弱性
- CVE-2025-21200 Windows テレフォニーサービスのリモートコード実行の脆弱性
- CVE-2025-21201 Windows テレフォニーサーバーのリモートコード実行の脆弱性
- CVE-2025-21208 Windows ルーティングとリモートアクセスサービス(RRAS)のリモートコード実行の脆弱性
- CVE-2025-21371 Windows テレフォニーサービスのリモートコード実行の脆弱性
- CVE-2025-21406 Windows テレフォニーサービスのリモートコード実行の脆弱性
- CVE-2025-21407 Windows テレフォニーサービスのリモートコード実行の脆弱性
- CVE-2025-21410 Windows ルーティングとリモートアクセスサービス(RRAS)のリモートコード実行の脆弱性
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、58316、58317、62022、62023、64529 ~ 64532、64537、64539 ~ 64542、64545 です。Snort 3 のルールである 300612、301136、301137、301139、301140 もあります。
本稿は 2025 年 2 月 11 日にTalos Group
Authors