CVE-2025-62215: Windows Kernelのゼロデイ脆弱性に関するSOCレポート

分析

CVE‑2025‑62215 は、Windows カーネルにおける重要な競合状態の脆弱性であり、2025 年 11 月のマイクロソフトのパッチ火曜日リリースで修正されました。 SOC Prime この欠陥により、低特権のローカルアクセス権を持つ攻撃者がカーネルメモリ内で「二重解放」状態を悪用し、特権を SYSTEM レベルに昇格させることができます。 SOC Prime これは活発に悪用されており、すべてのサポート対象の Windows OS エディション（および Windows 10 の ESU）に影響を与えるため、組織はシステム全体の侵害の現実的なリスクに直面しています。

調査

セキュリティ研究者は、複数のスレッドが適切な同期なしで同じカーネルリソースにアクセスする競合状態に起因することを発見しました。これによりカーネルメモリ破損シナリオ（「二重解放」）が引き起こされ、攻撃者が実行フローを乗っ取ることを可能にします。初期アクセスが必要ですが（例: フィッシングや以前の RCE など）、その後、特権が昇格され、資格情報が収集され、横移動が促進されます。この攻撃はコンセプトとしては簡単ですが結果としては強力であるため、既に野外で使用されているとされています。

緩和策

組織は CVE‑2025‑62215 に対処する Microsoft のパッチを 即座に適用する必要があります。さらに、最小特権ユーザーアクセスを強制し、不要なローカル管理者権限を無効化し、異常なローカル特権昇格の行動を監視することで初期拠点のリスクを減らします。ディフェンダーは、メモリ破損またはカーネルレベルのサービスアカウントからの異常なプロセスの作成を検出するためのエンドポイント検出ルールをデプロイするべきです。この欠陥がカーネルレベルの性質であることを考慮すると、堅牢なパッチディシプリンを維持し、EDR、カーネル整合性チェックなどの階層型セキュリティ制御を使用することが重要です。

対応

この脆弱性を通じて環境が攻撃された疑いがある場合は、影響を受ける可能性のあるホストを隔離し、最近のローカルログインや特権昇格イベントをレビューし、トークン偽装または SYSTEM レベルのプロセス生成の兆候を探します。必要に応じて影響を受けたデバイスを再イメージし、侵害された可能性のあるアカウントの資格情報を変更します。インシデントの詳細をセキュリティオペレーションチームに報告し、この脆弱性のエクスプロイトチェーン（初期アクセス → ローカルエクスプロイト → カーネル特権昇格）を含むように検出/ハンティングプレイブックを更新します。最後に、将来のパッチサイクルにインストールの確認と再エクスプロイト試行の監視を含めるようにしてください。