はじめに
Microsoftが緊急リリースしたWindows Server Update Service (WSUS) のセキュリティ更新プログラムが、一部のWindows Server 2025デバイスでホットパッチ機能を無効にする問題を引き起こしています。この問題は、活発に悪用されている重大な脆弱性に対処するためのパッチで発生しました。
WSUS脆弱性とその緊急パッチ
この問題の原因となったのは、CVE-2025-59287として識別されるWSUSのリモートコード実行(RCE)の脆弱性です。この脆弱性は重大な深刻度を持ち、既に攻撃で悪用されていることが複数のサイバーセキュリティ企業によって確認されています。オランダ国家サイバーセキュリティセンター(NCSC-NL)もこの調査結果を裏付け、概念実証(PoC)エクスプロイトが既に利用可能であることから、IT管理者にリスクの増大を警告しました。さらに、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、米国政府機関に対し、この脆弱性に対処するよう命じています。
インターネット監視グループShadowserverは、デフォルトポート(8530/8531)をオンラインで公開している2,600以上のWSUSインスタンスを追跡しており、パッチ適用状況が懸念されています。
ホットパッチ機能への影響
問題の緊急更新プログラムはKB5070881です。Microsoftは、このOOB(Out-of-Band)セキュリティ更新プログラムを受け取ったごく一部のホットパッチ登録済みWindows Server 2025システムが、ホットパッチ登録ステータスを失ったことを認めました。この問題は、ホットパッチ更新プログラムを受け取るように登録されているWindows Server 2025デバイスおよび仮想マシン(VM)にのみ影響します。
マイクロソフトの対応と代替パッチ
Microsoftは、ホットパッチ登録済みWindows Server 2025デバイスへのKB5070881の提供を停止しました。既にこの更新プログラムをインストールしてしまったデバイスは、11月と12月にはホットパッチ更新プログラムを受け取ることができず、代わりに再起動が必要な通常の月次セキュリティ更新プログラムが提供されます。これらのデバイスは、2026年1月に予定されているベースライン更新プログラムをインストールした後、ホットパッチの展開に合流する予定です。
幸いなことに、MicrosoftはKB5070893という新しいセキュリティ更新プログラムをリリースしました。これはKB5070881の翌日にリリースされ、ホットパッチ機能を損なうことなくCVE-2025-59287の脆弱性を修正するために特別に設計されています。
バグのある更新プログラムをダウンロードしたがまだ展開していない管理者は、以下の手順でKB5070893をインストールできます。
- 「設定」>「Windows Update」に移動し、「更新を一時停止」を選択します。
- 一時停止を解除し、更新プログラムをスキャンして正しい更新プログラムを受け取ります。
Microsoftは、「この更新プログラムをインストールしていないホットパッチ登録済みマシンには、2025年10月の計画されたベースライン更新プログラム(KB5066835)に加えて、Windows Server Update Servicesの2025年10月セキュリティ更新プログラム(KB5070893)が提供されます」と述べています。「KB5070893をインストールするマシンは『ホットパッチトレイン』に留まり、11月と12月もホットパッチ更新プログラムを受け取り続けます。WSUSが有効になっているマシンのみが、セキュリティ更新プログラムKB5070893のインストール後に再起動を求められます。」
その他のセキュリティ関連情報
CVE-2025-59287のRCE脆弱性に対処するため、MicrosoftはWSUSのエラー報告における同期エラーの詳細表示も無効にしました。また、先週、MicrosoftはWindows 11のタスクマネージャーが終了できないバグや、Windows 11 Media Creation Tool (MCT) の修正、Windows 11 24H2システムに影響する0x800F081F更新エラーの解決も行っています。