はじめに
Windows Agereモデムドライバーに新たなゼロデイ脆弱性が発見され、脅威アクターによって積極的に悪用されています。これらの脆弱性(CVE-2025-24052およびCVE-2025-24990)は、低権限ユーザーがユーザー操作なしにシステムを完全に制御することを可能にします。Microsoftは、脆弱なltmdm64.sysドライバーを削除する10月の累積更新プログラムをリリースしましたが、このコンポーネントに依存するFAXモデムハードウェアを使用している組織は、サービス中断の可能性に直面しています。
脆弱性の詳細
最初の脆弱性であるCVE-2025-24052は、Agereモデムドライバーにおけるスタックベースのバッファオーバーフローです。低権限の攻撃者は、この脆弱性をローカルで悪用し、カーネルコンテキストで任意のコードを実行できるため、機密性、完全性、可用性に高い影響を与えます。Microsoftは、この脆弱性の深刻度を「重要」と評価し、CVSS v3.1スコアは7.8です。概念実証(PoC)エクスプロイトコードがすでに公開されており、パッチ適用が急務となっています。
その後、研究者らは同じドライバー内の信頼できないポインター逆参照であるCVE-2025-24990を特定しました。この脆弱性も同様にローカルでの特権昇格を可能にし、低権限ユーザーの権限を利用し、ユーザー操作を必要としません。Microsoftは、この脆弱性の深刻度も「重要」と評価し、CVSS v3.1スコアは7.8です。
- CVE ID: CVE-2025-24052
- リリース日: 2025年10月14日
- 影響: 特権昇格
- 最大深刻度: 重要
- CVSS v3.1スコア: 7.8
- CVE ID: CVE-2025-24990
- リリース日: 2025年10月14日
- 影響: 特権昇格
- 最大深刻度: 重要
- CVSS v3.1スコア: 7.8
影響を受けるシステムへの影響
両方の脆弱性は、サポートされているWindowsリリースにデフォルトで含まれるltmdm64.sysコンポーネントを標的としています。この特定のAgereドライバーに依存するFAXモデムハードウェアは、10月の累積更新プログラムによってドライバーが削除されると機能しなくなります。医療、金融、法務サービスなどの規制業界でFAXソリューションを使用している組織は、レガシーモデムハードウェアへの依存度を評価し、代替の通信方法を検討する必要があります。
Microsoftは、古いドライバーの削除を強調し、更新できないFAXモデムハードウェアへの既存の依存関係を削除するよう管理者に促しています。CVE-2025-24052の概念実証エクスプロイトが公開されているため、脅威アクターはカーネルレベルのアクセスを取得した後、このコードをより広範な攻撃チェーンに統合し、データ窃盗やランサムウェアの展開を可能にする可能性があります。
緩和策
両方の脆弱性を緩和するには、2025年10月のWindows累積更新プログラムを直ちに適用する必要があります。この更新プログラムは、脆弱なltmdm64.sysドライバーをすべてのサポート対象プラットフォームから永続的に削除します。
ハードウェアの交換がまだ実現できない環境では、以下の暫定的な対策を検討してください。
- グループポリシーまたは構成管理ツールを通じてFAXモデム機能を無効にする。
- AppLocker、Device Guard、または同様のソリューションを使用してローカルユーザーの権限を制限し、脆弱なドライバーのロードまたは操作能力を制限する。
- Windowsイベントログを監視し、異常なカーネルモードドライバーのロード試行やプロセス昇格イベントを検出する。
最終的には、サポートされていないモデムハードウェアから移行することで、攻撃対象領域が排除されます。ITチームは、Agereモデムドライバーがインストールされているシステムを監査し、サポートされている通信ソリューションへの移行を計画する必要があります。
元記事: https://gbhackers.com/windows-agere-modem-driver-0-day-exploited/