概要:Windows Agereモデムドライバーのゼロデイ脆弱性
新たに発見されたWindows Agereモデムドライバーのゼロデイ脆弱性が、攻撃者によって積極的に悪用され、影響を受けるシステムで特権を昇格させていることが判明しました。CVE-2025-24052およびCVE-2025-24990として追跡されているこれらの脆弱性は、低い権限を持つユーザーがユーザーの操作なしにシステムを完全に制御することを可能にします。Microsoftは、脆弱なltmdm64.sysドライバーを削除する2025年10月の累積更新プログラムをリリースしましたが、このコンポーネントに依存するFAXモデムハードウェアを使用している組織は、サービスの中断に直面する可能性があります。
脆弱性の詳細
最初の脆弱性であるCVE-2025-24052は、Agereモデムドライバーにおけるスタックベースのバッファオーバーフローです。低い権限を持つ攻撃者は、この脆弱性をローカルで悪用し、カーネルコンテキストで任意のコードを実行できます。これにより、機密性、完全性、可用性に高い影響を及ぼします。Microsoftは、この脆弱性の深刻度を「重要」と評価し、CVSS v3.1スコアは7.8です。概念実証(PoC)エクスプロイトコードがすでに公開されており、パッチ適用が緊急であることを示しています。
その後、研究者らは同じドライバー内でCVE-2025-24990という、信頼できないポインターの逆参照の脆弱性を特定しました。これも同様にローカルでの特権昇格を可能にし、低いユーザー権限でユーザーの操作を必要としません。Microsoftはこれも「重要」と評価し、CVSS v3.1スコアは7.8です。当初、この脆弱性に対する公開されたエクスプロイトは確認されていませんでしたが、最初の脆弱性との類似性から、迅速な武器化のリスクが高まっています。
影響を受けるシステムへの影響
両方の脆弱性は、サポートされているWindowsリリースにデフォルトで含まれているltmdm64.sysコンポーネントを標的としています。この特定のAgereドライバーに依存するFAXモデムハードウェアは、10月の累積更新プログラムによってドライバーが削除されると機能しなくなります。医療、金融、法務サービスなどの規制対象業界でFAXソリューションを使用している組織は、レガシーモデムハードウェアへの依存度を評価し、代替の通信方法を検討する必要があります。
Microsoftの概要では、古いドライバーの削除が強調されており、管理者は更新できないFAXモデムハードウェアへの既存の依存関係を削除するよう強く求めています。CVE-2025-24052の概念実証エクスプロイトが公開されているため、攻撃者はこのコードをより広範な攻撃チェーンに統合し、カーネルレベルのアクセスを取得した後にデータ窃盗やランサムウェアの展開を可能にする可能性があります。
推奨される緩和策
両方の脆弱性を緩和するには、2025年10月のWindows累積更新プログラムを即座に適用してください。この更新プログラムは、脆弱なltmdm64.sysドライバーをすべてのサポート対象プラットフォームから完全に削除します。
ハードウェアの交換がまだ実現できない環境では、以下の暫定的な対策を検討してください:
- グループポリシーまたは構成管理ツールを通じてFAXモデム機能を無効にする。
- AppLocker、Device Guard、または同様のソリューションを使用して、ローカルユーザーの権限を制限し、脆弱なドライバーのロードや操作を制限する。
- Windowsイベントログを監視し、異常なカーネルモードドライバーのロード試行やプロセスの昇格イベントがないか確認する。
最終的には、サポートされていないモデムハードウェアからの移行が、攻撃対象領域を排除することにつながります。ITチームは既存のインベントリを監査し、Agereモデムドライバーがインストールされているシステムを優先し、サポートされている通信ソリューションへの移行計画を立てる必要があります。
元記事: https://gbhackers.com/windows-agere-modem-driver-0-day-exploited/