Microsoftは、約2年間にわたり悪用され続けたWindowsカーネルのゼロデイ脆弱性CVE-2025-24983を修正した。この脆弱性はWin32カーネルサブシステムにおける「Use-After-Free(UAF)」の問題で、攻撃者がSYSTEM権限を取得可能となる危険性があった。

この脆弱性はESETの調査で2023年3月から悪用されていたことが判明し、最も長期間にわたり攻撃に利用されたものの1つとされる。特にPipeMagicと呼ばれる高度なバックドアを通じた攻撃が確認され、サポートが終了したWindows Server 2012 R2やWindows 8.1が主な標的となった。

2025年3月のPatch Tuesdayで修正されたが、古いWindows環境を利用している企業や個人は迅速なアップデートが不可欠となる。Microsoftは、この脆弱性を含むゼロデイ攻撃が持つ潜在的な危険性に対し、セキュリティ更新の徹底を推奨している。

2年間見過ごされた脆弱性 CVE-2025-24983の実態

CVE-2025-24983は、WindowsのWin32カーネルサブシステムに存在したUse-After-Free(UAF)の脆弱性である。この脆弱性を悪用すると、攻撃者はSYSTEM権限への昇格が可能となり、標的のPCを完全に制御できるようになる。通常、Microsoftはカーネルレベルの脆弱性に迅速に対処するが、本件は2023年3月から実際の攻撃に使用されていたことが判明している。

この脆弱性が長期間放置された背景には、競合状態(Race Condition)という特性がある。ESETの調査によれば、この脆弱性を悪用するには特定のタイミングで条件を満たす必要があり、一般的な攻撃よりも難易度が高かったとされる。しかし、難易度が高いからといって影響が小さいわけではない。実際に悪用されていたPipeMagicは、攻撃者に遠隔操作の機能を提供し、機密情報を窃取できる高度なバックドアだった。

今回のケースでは、Windows Server 2012 R2やWindows 8.1といったサポート終了済みのOSが主に標的とされたが、Windows 10(1809以前)やWindows Server 2016など、依然として使用されているバージョンも影響を受けている。サポート終了のOSを使用し続けることのリスクが改めて浮き彫りになった事例と言える。

ゼロデイ攻撃に利用されたPipeMagicの脅威

CVE-2025-24983は、PipeMagicと呼ばれる高度なバックドアを通じて悪用された。PipeMagicは、2022年に初めて確認されたトロイの木馬型マルウェアで、プラグイン方式を採用しており、攻撃者が遠隔で機能を追加できる特徴を持つ。この手法により、一度侵入されると、新たな攻撃手段を自由に組み込まれる危険性が高まる。

このマルウェアの最大の特徴は、名前付きパイプ(Named Pipe)を利用してコマンド&コントロール(C2)サーバーと通信を行う点にある。通常のネットワーク通信ではなく、OS内部の機能を悪用するため、検出が困難になる。特に\\.\\pipe\\1.<16進文字列> という形式の通信が確認されており、通常のトラフィック監視では異常を検知しにくい仕様になっている。

また、PipeMagicの存在が明らかになったことで、CVE-2025-24983が単独で利用されていたのではなく、他の攻撃手法と組み合わせられていた可能性がある。特に、Windowsの特権昇格の脆弱性は、ランサムウェアやスパイウェアの展開に利用されることが多く、今回のケースでも単なる侵入経路ではなく、さらなる攻撃の足がかりとして使われた可能性がある。

カーネルレベルの脆弱性が突きつける現実

Windowsのカーネルレベルの脆弱性は、特権昇格が可能となるため、単純なソフトウェアの脆弱性とは異なり、被害の範囲が大きくなりやすい。特に、今回のようなゼロデイ脆弱性が2年間も実際に悪用され続けた事実は、サイバーセキュリティの視点から見ても重大な問題と言える。

CVE-2025-24983の悪用が確認された2023年3月は、ちょうどWindows 8.1のサポート終了が近づいていた時期であり、攻撃者が古いOSを狙った可能性がある。サポートが終了したOSは、修正パッチが提供されず、脆弱性が放置されるため、標的として狙われやすい。今回のケースでも、Microsoftが「重要(Important)」と評価した一方で、悪用の難易度の高さから「重大(Critical)」とはしなかったことが議論の的となった。

2025年3月のPatch Tuesdayで修正が行われたが、脆弱性が存在した期間の長さを考えると、すでに多くの被害が発生していた可能性がある。こうした問題を防ぐためには、定期的なアップデートの適用だけでなく、古いOSを使用し続けるリスクを理解し、より安全な環境へ移行することが不可欠だろう。

Source:Cyber Security News