概要:Windowsゼロデイ脆弱性の緊急警告
Microsoftは、Windowsリモートアクセス接続マネージャーに存在する重大なゼロデイ脆弱性(CVE-2025-59230)が、現在進行中の攻撃で活発に悪用されていることを確認しました。この脆弱性は、攻撃者が限定的なシステムアクセスから最高レベルの権限に昇格し、侵害されたシステムを完全に制御することを可能にします。
脆弱性の詳細
この脆弱性は、Windowsオペレーティングシステムでリモートネットワーク接続を処理する重要なサービスであるWindowsリモートアクセス接続マネージャーコンポーネント内の不適切なアクセス制御に起因します。詳細は以下の通りです。
- CVE ID: CVE-2025-59230
- 脆弱性の種類: 権限昇格(Elevation of Privilege)
- 情報公開日: 2025年10月14日
- CVSSスコア: 7.8(基本)/ 7.2(時間的)
- 深刻度: 重要(Important)
Microsoft Threat Intelligence CenterとMicrosoft Security Response Centerのセキュリティ研究者らは、パッチが利用可能になる前に、この脆弱性が実世界で活発に悪用されている証拠を発見し、これを真のゼロデイ脅威として分類しました。
攻撃のメカニズムと深刻な影響
この攻撃は、標的システムへのローカルアクセスを必要とします。つまり、攻撃者は既に低レベルのユーザー権限でシステムに侵入している必要があります。しかし、一度侵入に成功すれば、攻撃の複雑性は低く、ユーザーの操作なしに容易に悪用が可能です。
この脆弱性の最も憂慮すべき側面は、Windows環境で最高の権限レベルであるSYSTEMレベルへの権限昇格が可能な点です。これにより、攻撃者は以下のことを含む無制限のアクセス権を獲得します。
- あらゆるデータの読み取り、変更、削除
- 悪意のあるソフトウェアのインストール
- 新しい管理者アカウントの作成
- 侵害されたシステムへの永続的なアクセス維持
Microsoftの悪用可能性評価では、機能するエクスプロイトコードが存在し、実際の攻撃で活発な悪用が検出されていることが確認されています。この事実は、組織がセキュリティアップデートを直ちに適用することの緊急性を浮き彫りにしています。
推奨される対策
Windowsリモートアクセス接続マネージャーコンポーネントは、複数のWindowsバージョンに存在するため、数百万のシステムが侵害される可能性があります。セキュリティ専門家は、システム管理者が特に複数のユーザーがアクセスするシステムや企業ネットワークに接続されているシステムに対して、パッチ適用作業を最優先するよう推奨しています。
また、組織は不審な権限昇格の試みを監視し、リモートアクセス接続マネージャーサービスに関連する侵害の兆候がないかシステムログを確認する必要があります。
元記事: https://gbhackers.com/hackers-exploit-windows-remote-access-connection-manager-0-day/