概要

Windows Agereモデムドライバーに新たなゼロデイ脆弱性が発見され、現在、攻撃者によって積極的に悪用され、影響を受けるシステムで特権昇格が行われていることが明らかになりました。この脆弱性は、CVE-2025-24052およびCVE-2025-24990として追跡されており、低い権限を持つユーザーがユーザーの操作なしにシステムを完全に制御することを可能にします。

Microsoftは、脆弱なltmdm64.sysドライバーを削除する10月の累積的な更新プログラムをリリースしましたが、このコンポーネントに依存するFAXモデムハードウェアを使用している組織は、サービスの中断に直面する可能性があります。

脆弱性の詳細

最初の脆弱性であるCVE-2025-24052は、Agereモデムドライバーにおけるスタックベースのバッファオーバーフローです。低い権限を持つ攻撃者は、この脆弱性をローカルで悪用し、カーネルコンテキストで任意のコードを実行できます。これにより、機密性、完全性、可用性に高い影響を及ぼします。Microsoftは、この脆弱性の深刻度を「重要」と評価し、CVSS v3.1スコアは7.8です。概念実証（PoC）エクスプロイトコードがすでに公開されており、パッチ適用が急務となっています。

その後、研究者たちは同じドライバー内でCVE-2025-24990という信頼できないポインターの逆参照を発見しました。この脆弱性も同様にローカルでの特権昇格を可能にし、低いユーザー権限でユーザー操作を必要としません。Microsoftはこれも「重要」と評価し、CVSS v3.1スコアは7.8です。当初は公開されたエクスプロイトは確認されていませんでしたが、最初の脆弱性との類似性から、迅速な武器化のリスクが高まっています。

• CVE ID: CVE-2025-24052
  • リリース日: 2025年10月14日
  • 影響: 特権昇格
  • 最大深刻度: 重要
  • CVSS v3.1スコア: 7.8
• CVE ID: CVE-2025-24990
  • リリース日: 2025年10月14日
  • 影響: 特権昇格
  • 最大深刻度: 重要
  • CVSS v3.1スコア: 7.8

影響を受けるシステムと潜在的リスク

両方の脆弱性は、サポートされているWindowsリリースにデフォルトで含まれるltmdm64.sysコンポーネントを標的としています。この特定のAgereドライバーに依存するFAXモデムハードウェアは、10月の累積的な更新プログラムによってドライバーが削除されると機能しなくなります。医療、金融、法務サービスなどの規制産業でFAXソリューションを使用している組織は、レガシーモデムハードウェアへの依存度を評価し、代替の通信方法を検討する必要があります。

Microsoftのエグゼクティブサマリーでは、古いドライバーの削除が強調されており、管理者は更新できないFAXモデムハードウェアへの既存の依存関係を削除するよう強く求めています。CVE-2025-24052の概念実証エクスプロイトが公開されているため、攻撃者はこのコードをより広範な攻撃チェーンに組み込み、カーネルレベルのアクセスを獲得した後にデータ窃盗やランサムウェアの展開を可能にする可能性があります。

対策と推奨事項

両方の脆弱性を軽減するには、2025年10月のWindows累積的な更新プログラムを直ちに適用してください。この更新プログラムは、脆弱なltmdm64.sysドライバーをすべてのサポート対象プラットフォームから恒久的に削除します。

ハードウェアの交換がまだ実現できない環境では、以下の暫定的な対策を検討してください。

• グループポリシーまたは構成管理ツールを通じてFAXモデム機能を無効にする。
• AppLocker、Device Guard、または同様のソリューションを使用してローカルユーザーの権限を制限し、脆弱なドライバーのロードや操作を制限する。
• Windowsイベントログを監視し、異常なカーネルモードドライバーのロード試行やプロセス昇格イベントがないか確認する。

最終的には、サポートされていないモデムハードウェアからの移行が、攻撃対象領域を排除することになります。ITチームは、既存のインベントリを監査し、Agereモデムドライバーがインストールされているシステムを優先し、サポートされている通信ソリューションへの移行計画を立てる必要があります。

---

元記事: https://gbhackers.com/windows-agere-modem-driver-0-day-exploited/