マイクロソフトは、以下の問題に対処するための包括的なセキュリティアップデートをリリースしました。 67 ソフトウェアエコシステム全体の脆弱性. これには重要な ゼロデイ脆弱性 Web分散オーサリングとバージョン管理 (WebDAV) 現在、現実世界の攻撃で悪用されている.
6月の内訳 2025 パッチ火曜日アップデート
6月 2025 更新は分類します 11 脆弱性を「重大」と評価し、 56 重要として. 修正された問題の中には:
- 26 リモートコード実行 (RCE) 欠陥
- 17 情報漏洩バグ
- 14 権限昇格の脆弱性
これらに加えて, マイクロソフトは解決した 13 前回のパッチ火曜日以降、ChromiumベースのEdgeブラウザにセキュリティ上の問題が発生.
ゼロデイ攻撃: WebDAVのCVE-2025-33053
今月修正された最も重大な脅威の一つは、WebDAVのリモートコード実行の脆弱性である。, CVE-2025-33053として追跡され、CVSSスコアは 8.8. この脆弱性は、ユーザーを騙して特別に細工されたURLをクリックさせることで悪用される可能性がある。, リモートサーバー経由でマルウェアの実行をトリガーする.
このゼロデイ, WebDAVプロトコルで初めて報告された, チェックポイントの研究者であるアレクサンドラ・ゴフマンとデビッド・ドリカーによって発見された。. チェックポイントによると, この欠陥により、攻撃者は作業ディレクトリを操作してリモートでコードを実行できるようになる。.
ステルスファルコンの標的型攻撃
サイバーセキュリティ研究者は、CVE-2025-33053の悪用はステルスファルコンによるものだとしている。, FruityArmorとしても知られる, 脅威アクターとして知られる Windowsのゼロデイ攻撃を活用する. トルコの防衛請負業者を狙った最近の攻撃では, ステルスファルコンはフィッシングメールに悪質なショートカットファイルを仕込んだ, 洗練されたマルウェア配信チェーンを開始した.
攻撃は .url WebDAV の脆弱性を悪用して `iediagcmd.exe` を実行するファイル, 正規のInternet Explorer診断ツール. このツールはその後 ホルスローダー, 読み込み中におとりのPDF文書を表示した ホルスエージェント, Mythicコマンドアンドコントロールフレームワークを使用して構築されたカスタムインプラント.
C++で記述, ホルスエージェントは、グループの以前のインプラントの進化版である。, *アポロ*, 文字列の暗号化や制御フローの平坦化などのステルス強化機能も組み込まれています。. リモートサーバーに接続してシステム列挙などのコマンドを取得します。, ファイルアクセス, シェルコードインジェクション.
脅威アクターの武器庫に加わった新たなツール
チェックポイントの分析では、この攻撃で使用されたこれまで文書化されていなかったツールも特定された。, 含む:
- 資格情報ダンパー, 侵害されたドメインコントローラから資格情報を抽出する
- パッシブバックドア, C2リクエストを受信し、シェルコードを実行する
- キーロガー, これはC++でカスタムビルドされており、キーストロークを一時ファイルに記録します。, 直接的なC2能力がない
これらのツールは、商用の難読化ソフトウェアで保護されており、リバースエンジニアリングを回避するためにカスタマイズされています。.
CISAの対応と業界の懸念
CVE-2025-33053の積極的な悪用により, アメリカ. サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー (CISA) 既知の脆弱性に追加されました (KEV) カタログ, 連邦政府機関が7月までに欠陥を修正することを義務付ける 1, 2025.
マイク・ウォルターズ, Action1の社長, WebDAVは企業環境でファイル共有や共同作業に広く使用されているため、この欠陥は特に危険であると強調した。, セキュリティ上の意味を十分に理解していないことが多い.
その他の重大な脆弱性
解決された最も重要な問題の中には、Microsoft Power Automateの権限昇格の欠陥がある。 (CVE-2025-47966), 得点した 9.8 CVSSスケールで. マイクロソフトは、このパッチではユーザーの操作は不要であることを確認した。.
その他の注目すべき脆弱性としては、:
- CVE-2025-32713 – 共通ログファイルシステムドライバーにおける権限の昇格
- CVE-2025-33070 – Windows Netlogon における権限昇格
- CVE-2025-33073 – Windows SMBクライアントの既知の脆弱性, 研究者らは、これは実際には反射型Kerberosリレー攻撃による認証されたRCEであることを明らかにした。
セキュリティ研究者のベン・マッカーシー氏は、CLFSの脆弱性は低複雑性のヒープオーバーフローであり、ここ数ヶ月ランサムウェア攻撃者の注目を集めていると指摘した。.
その間, CVE-2025-33073, Google Project ZeroやSynacktivを含む複数の研究チームによって報告された。, 攻撃者は、不適切に構成されたSMB署名を悪用して、システムレベルのコマンド実行を実現できる。.
KDCプロキシの欠陥とセキュアブートのバイパス
CVE-2025-33071, Windows KDC プロキシにおけるリモートコード実行の脆弱性, 暗号競合状態が発生する. Rapid7のアダム・バーネット氏によると, 企業ネットワークにおけるKDCプロキシの露出の性質上、現実世界のシナリオでは悪用される可能性がある。.
さらに, マイクロソフトはセキュアブートバイパスの脆弱性を修正した (CVE-2025-3052), Binarlyによって発見された. この問題は、MicrosoftのサードパーティUEFI証明書で署名されたUEFIアプリケーションに影響し、オペレーティングシステムが読み込まれる前に悪意のあるコードが実行される可能性がある。.
CERT/CCは、根本的な原因はDT ResearchのUEFIアプリがNVRAM変数を処理する方法にあると説明した。. 不適切なアクセス制御により、攻撃者が重要なファームウェア構造を変更できる可能性がある。, ファームウェアレベルでの永続化とシステム侵害を可能にする.
疎水性: マイクロソフトがパッチを当てていないもう一つのセキュアブートバイパス
マイクロソフトに直接影響はないが, もう一つのセキュアブートバイパス (CVE-2025-4275), ハイドロフォビアと呼ばれる, も明らかにされた. この脆弱性は、InsydeH2Oファームウェアの保護されていないNVRAM変数の安全でない使用に起因しています。, 攻撃者が独自の信頼できるデジタル証明書を挿入し、起動初期に任意のファームウェアを実行できるようにする.
言うまでもなく, 組織は新たに修正された脆弱性を優先的に対処するよう求められている, 特にCVE-2025-33053のような悪用が活発に行われているもの.