Microsoft リリースパッチ2025年3月:ゼロデイ7を含む56のCBEの修正

ジャカルタ - マイクロソフトは、2025年3月に56の共通の脆弱性と暴露(CVE)にパッチを当てたセキュリティアップデートをグローバルにリリースしました。これには7つのゼロデイセキュリティギャップが含まれ、そのうち6つはサイバースペースで積極的に悪用されています。

今月修正された全脆弱性のうち、41.1%がリモートコード実行(RCE)の抜け穴であり、別の39.3%が特権の引き上げ(EoP)です。

TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏によると、このリリースの7つのゼロデイの数は、1ヶ月、つまり2024年8月と9月に報告された最高数に相当します。

「今月サイバースペースで悪用された6つのゼロデーは、1月と2月にわずか5人だった2025年から現在までの記録された数を上回りました」とNarang氏は述べています。

ゼロデイ脆弱性の詳細

- CVE-2025-26633 (セキュリティフィーチャーバイパス – マイクロソフト管理コンソール)この脆弱性により、攻撃者はソーシャルエンジニアリングを活用して被害者に悪意のあるファイルを開くように説得することができます。MMCでは、2024年10月に修正されたCVE-2024-43572に次ぐ2回目のゼロデーです。

- CVE-2025-24985 (Windows Fast FATファイルシステムドライバー)これは、2022年3月以来のWindows Fast FATファイルシステムドライバー(CVE-2022-23293)の最初の脆弱性であり、ゼロデイとして初めて発見されました。匿名で報告されたため、エクスプロイトの詳細は不用意です。

NTFSの3つの脆弱性

マイクロソフトはまた、NTFSファイルシステムの3つのバグ、すなわち2つの情報開示(CVE-2025-24984、CVE-2025-24991)と1つのリモートコード実行(CVE-2025-24993)を修正しました。すべてゼロデイとして悪用されています.この攻撃には、攻撃者が悪意のあるコードを実行したり、機密情報を盗んだりできるように、修正された仮想ハードディスク(VHD)をインストールするためのターゲットが必要です。

- CVE-2025-24983 (プライバシーの引き上げ – Windows Win32 カーネルサブシステム)これは今月唯一のゼロデイライバシーです。攻撃者は、このバグを悪用してSYSTEMアクセス権を取得する前に、システムへの早期アクセスを必要とします。ただし、レース コンディションが含まれるため、エクスプロイトは非常に困難です。

ゼロデイエクスプロイトの数が増えるにつれて、Windowsユーザーは、潜在的な攻撃からシステムを保護するために、すぐにセキュリティ更新を行うことをお勧めします。