概要：Microsoft IISの深刻な脆弱性

MicrosoftのInternet Information Services (IIS) に、認証されていない攻撃者が任意のコードを実行できる深刻なセキュリティ上の欠陥が発見されました。この脆弱性は、IIS Inbox COMオブジェクトにおける共有メモリと解放済みオブジェクトの不適切な処理に起因します。攻撃者はこの脆弱性を悪用することで、システムの完全な制御を奪い、データ窃盗やマルウェアのインストールを行う可能性があります。

脆弱性の詳細：CVE-2025-59282

2025年10月14日、MicrosoftはIIS Inbox COMオブジェクトにおけるリモートコード実行の脆弱性を公表しました。この欠陥はCVE-2025-59282として追跡されており、「重要」と評価されています。これは、競合状態（Race Condition）と解放後使用（Use-After-Free）の脆弱性から生じており、攻撃者がIISプロセスのコンテキストでコードの実行をトリガーすることを可能にします。認証は不要なため、影響を受けるサーバーにネットワークアクセスできる認証されていない攻撃者であれば、誰でも悪用可能です。

この脆弱性の根本原因は、MITREによって定義された以下の2つの特定の弱点にあります。

• CWE-362 (Concurrent Execution using Shared Resource with Improper Synchronization)
• CWE-416 (Use After Free)

これらの弱点は、特定のグローバルメモリ操作を処理するIIS Inbox COMオブジェクト内で発生します。攻撃者が特別に細工されたリクエストを送信することで、オブジェクトの作成と削除のタイミングを操作し、IISプロセスが安全だと誤認しているメモリ領域で攻撃者提供のコードを実行させることができます。

影響と推奨される対策

Microsoft自身のCVSS 3.1評価では、基本スコアが7.0、時間スコアが6.1とされています。ベクトル文字列はCVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:Cです。高い影響度指標は、悪用された場合に機密性、完全性、可用性の完全な損失を示しています。

管理者は、サーバーを確認し、Microsoftの公式サイトからセキュリティアップデートを直ちにダウンロードして適用することが強く推奨されます。提供されたパッチを適用することで、競合状態と解放後使用のエラーが修正されます。パッチが適用されるまでは、ネットワークファイアウォールを使用してポート80およびポート443へのアクセスを信頼できるホストのみに制限することで、露出を減らすことができます。また、不審なIISアクティビティのログを監視することも推奨されます。COMオブジェクトを標的とした予期せぬリクエストや、不規則なプロセス障害は、潜在的な悪用試行として扱うべきです。

さらに、最小限の権限でWebサーバーを運用することで、攻撃者がコードを実行できた場合の被害を制限できます。この高リスクな脆弱性からIISサーバーを保護するためには、迅速なアップデート適用とネットワーク制御の強化が不可欠です。

元記事: https://gbhackers.com/microsoft-iis-exploit-allows-run-arbitrary-code/