Microsoft 2025 年 1 月の Patch Tuesday - BigFix で 8 つのゼロデイ脆弱性と 139 以上の脆弱性を修正
2025/1/22 - 読み終える時間: 2 分
Microsoft January 2025 Patch Tuesday - Fix 8 Zero-days and 139 More Vulnerabilities with BigFix の翻訳版です。
Microsoft 2025 年 1 月の Patch Tuesday - BigFix で 8 つのゼロデイ脆弱性と 139 以上の脆弱性を修正
2025年1月20日
著者: Alessandro De Lorenzi / HCL Product Manager
前回の 2025 年 1 月の Patch Tuesday リリースで、Microsoft は 159 の新しい脆弱性に対処するセキュリティ更新プログラムをリリースしました。これらの 159 の欠陥のうち 8 つはゼロデイに分類され、CVE の 90% 以上が重要と評価され (合計 159 の脆弱性のうち 147)、残りは重大と分類されています。
ゼロデイ脆弱性の修正
Microsoft の 1 月の Patch Tuesday では、公開されている欠陥、または実際に悪用されていることがわかっている 8 つの重大なゼロデイ脆弱性に対処しました。
Hyper-V NT カーネル統合 VSP - トリプル ゼロ権限昇格の脆弱性
Microsoft は、Hyper-V NT カーネル統合 VSP (CVE-2025-21333、CVE-2025-21334、CVE-2025-21335) に関連する 3 つのゼロデイ脆弱性に対処しました。これらの脆弱性により、ローカルの承認された攻撃者が権限を SYSTEM に昇格できるようになります。
これら 3 つの脆弱性はすべて、CISA によって既知の悪用された脆弱性 (KEV) カタログに含まれており、期限は 2025 年 2 月 4 日です。
BigFix では、Windows Server (Win Server 2022 や 2025 など) とクライアント (Windows 10 および 11) エディションの両方の影響を受けるさまざまなバージョンの Windows に累積更新プログラムをインストールすることで、これらの脆弱性を解決する 10 種類の Fixlet を公開しました。
Microsoft Office Access - トリプルゼロ リモート コード実行脆弱性
Microsoft は、1 月の Patch Tuesday で、Office Access に関連する 3 つの類似したゼロデイ脆弱性 (CVE-2025-21186、CVE-2025-21366、CVE-2025-21395) を修正しました。これらの脆弱性により、攻撃者は脆弱なシステムで任意のコード実行権限を付与される可能性があります。この脆弱性を悪用するには、脆弱なデバイス上のローカル ユーザーとのやり取りが必要です。実際、攻撃者はローカル ユーザーに特別に細工されたファイルをダウンロードして実行させ、コンピューターを攻撃する必要があります。
Microsoft が提供するパッチは、「潜在的に悪意のある拡張機能がメールで送信されるのをブロック」し、脆弱なコンピューター上のローカル ユーザーが悪意のあるファイルを受信できないようにします。
CVE-2025-21308 - Windows テーマのスプーフィング脆弱性
CVE-2025-21308 は、1 月の Patch Tuesday で Microsoft によって解決されたスプーフィング脆弱性です。これにより、攻撃者は脆弱なシステムで任意のコード実行権限を付与されます。ただし、この欠陥を悪用するには、攻撃者が脆弱なデバイスに悪意のあるファイルを配信し、脆弱なデバイス上のローカル ユーザーにそのファイルを操作させる必要があります。このゼロデイ脆弱性に割り当てられた CVSS スコアが 6.5 と低いのは、この悪用の複雑さによるものです。
この欠陥について公開された脆弱性アドバイザリでは、システムで NTLM を無効にするか、グループ ポリシーを適用して NTLM ハッシュをブロックすることにより、NTLM トラフィックを制限することに基づく緩和手法も提供されています。
BigFix では、1 月の Patch Tuesday の公開の一環として、影響を受けるすべてのバージョンの Windows に累積的な更新プログラムをインストールするための 21 の Fixlet を公開しました。
12 月の Patch Tuesday の BigFix パッチ コンテンツ
Microsoft は、1 月の Patch Tuesday で、Office Access に関連する 3 つの類似したゼロデイ脆弱性 (CVE-2025-21186、CVE-2025-21366、CVE-2025-21395) を修正しました。これらの脆弱性により、攻撃者は脆弱なシステムで任意のコード実行権限を付与される可能性があります。この脆弱性を悪用するには、脆弱なデバイス上のローカル ユーザーとのやり取りが必要です。実際、攻撃者はローカル ユーザーに特別に細工されたファイルをダウンロードして実行させ、コンピューターを攻撃する必要があります。 2025 年 1 月の Patch Tuesday 中に、BigFix パッチ チームは、今月 Microsoft が対処した 147 件 (159 件中) のセキュリティ脆弱性を修正する合計 75 の個別の Fixlet を公開しました。このコンテンツには、専用のドロップで公開された Microsoft Office コンテンツは含まれていません。また、この Patch Tuesday 中に Microsoft が解決した残りの CVE のほとんどにも対処していません。Microsoft がリリースしたセキュリティ更新プログラムの Fixlet の完全なリストは、BigFix フォーラムで入手できます。