概要
Microsoftは、現在活発に悪用されているWindowsカーネルの重大なゼロデイ脆弱性を公表しました。この脆弱性はCVE-2025-62215として追跡されており、攻撃者が脆弱なWindowsシステム上で特権を昇格させ、より高いアクセス権を獲得することを可能にします。
脆弱性の詳細
この脆弱性は、複数のプロセスが共有リソースに同時にアクセスする際の不適切な同期に起因する、Windowsカーネルにおける特権昇格の欠陥です。CWE-362(不適切な同期を伴う共有リソースを使用した同時実行)およびCWE-415(二重解放)に分類されるこの弱点により、限られた権限を持つローカル攻撃者が競合状態を悪用し、システムレベルの権限で任意のコードを実行できます。
2025年11月11日に公開されたCVE-2025-62215は、CVSS 3.1スコア7.0(Microsoft評価)の「重要」な深刻度評価を受けています。この脆弱性の悪用にはローカルアクセスが必要であり、攻撃者は標的システムにユーザーアカウントを持っている必要があります。しかし、攻撃にはユーザーの操作は不要で、自動化されたスクリプトや悪意のあるアプリケーションを通じて実行可能です。
悪用手法
悪用手法は、Windowsカーネルのメモリ管理サブシステムで競合状態を引き起こすことを含みます。複数のスレッドやプロセスを慎重にタイミングを合わせて操作することで、攻撃者は共有カーネルリソースを操作して二重解放状態を引き起こし、メモリ破損につながる可能性があります。これにより、攻撃者はカーネルのコンテキストで任意のコードを実行し、システムを完全に侵害することができます。
この攻撃は低レベルの権限のみで開始できるため、攻撃対象領域は特に懸念されます。制限されたアカウントを含む認証されたユーザーであれば、誰でもこの脆弱性を引き起こすことができます。これは、複数のユーザーが同じシステムにアクセスする企業環境において特に危険です。
脅威活動を監視しているセキュリティ研究者によると、この脆弱性は複数の脅威アクターによって標的型攻撃で積極的に悪用されています。攻撃は主に、機密データの窃盗、ランサムウェアの展開、侵害されたシステムへの永続的なバックドアの確立に焦点を当てています。企業および政府ネットワークでは、この脆弱性を悪用した侵害の試みが確認されています。
推奨される対策
Microsoftは、この脆弱性に対処するためのセキュリティパッチをリリースしました。組織は、特にWindows 10、Windows 11、およびWindows Serverのバージョンを実行しているシステムに対して、最新のWindowsセキュリティアップデートを直ちに適用することが強く推奨されます。
パッチ適用に加えて、セキュリティチームは以下の追加の防御策を講じるべきです。
- ローカルユーザーアカウントの作成と特権レベルの制限
- 不要なサービスや脆弱性につながる可能性のあるカーネル機能の無効化
- 悪用試行を特定するためのエンドポイント検出および対応(EDR)ソリューションの導入
- 疑わしいカーネルレベルの活動や特権昇格イベントに関するシステムログの監視
- 悪意のあるコードの実行を防ぐためのアプリケーションホワイトリストの実施