脆弱性の概要
CISA(サイバーセキュリティ・インフラセキュリティ庁)は、Windows SMBの深刻な権限昇格の脆弱性が現在、攻撃者によって積極的に悪用されていると発表しました。この脆弱性は、パッチが適用されていないシステム上でSYSTEM権限を取得される可能性があります。
このセキュリティ上の欠陥は、CVE-2025-33073として追跡されており、すべてのWindows ServerおよびWindows 10バージョン、ならびにWindows 11 24H2までのWindows 11システムに影響を与えます。
攻撃の詳細と影響
Microsoftは2025年6月の月例パッチでこの脆弱性を修正しましたが、その際、ネットワーク経由で認証された攻撃者が権限を昇格できる不適切なアクセス制御の弱点に起因することを明らかにしました。
Microsoftは次のように説明しています。「攻撃者は、被害者を攻撃者が制御する悪意のあるアプリケーション(例:SMB)サーバーに接続するよう誘導する可能性があります。接続すると、悪意のあるサーバーがプロトコルを侵害する可能性があります。」
さらに、「この脆弱性を悪用するために、攻撃者は特別に細工された悪意のあるスクリプトを実行し、被害マシンをSMBを使用して攻撃システムに接続させ、認証させる可能性があります。これにより、権限の昇格が発生する可能性があります。」
この脆弱性の発見は、CrowdStrikeのKeisuke Hirata氏、SynacktivのWilfried Bécard氏、SySS GmbHのStefan Walter氏、Google Project ZeroのJames Forshaw氏、RedTeam Pentesting GmbHを含む複数のセキュリティ研究者に帰属しています。
Microsoftの対応とCISAの警告
Microsoftは、セキュリティアップデートがリリースされる前にこのバグに関する情報がすでに公開されていたことを示唆していましたが、CISAがCVE-2025-33073が積極的に悪用されているという主張を公に認めていません。
CISAは、進行中のCVE-2025-33073攻撃に関する詳細情報をまだ共有していませんが、この脆弱性を既知の悪用されている脆弱性カタログに追加しました。これにより、連邦政府の行政機関(FCEB)は、Binding Operational Directive (BOD) 22-01の義務付けにより、11月10日までにシステムを保護するために3週間の猶予が与えられています。
対策の呼びかけ
BOD 22-01は連邦政府機関のみを対象としていますが、米国のサイバーセキュリティ機関は、民間部門を含むすべての組織に対し、この積極的に悪用されているセキュリティバグをできるだけ早くパッチ適用するよう奨励しています。
CISAは月曜日に、「これらの種類の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府の企業に重大なリスクをもたらします」と警告しました。