◆概要
2025 年 3 月に、Microsoft Windows OS の Explorer にて、NT ハッシュ値の漏洩や Active Directory ドメインレベルでの権限昇格につながる脆弱性が公開されています。攻撃者は当該脆弱性を悪用して、ファイルを閲覧した利用者のマシンに対して NTLM 認証の試行を強制できます。セキュリティ更新プログラムの適用により対策してください。
◆分析者コメント
Active Directory ドメイン環境下では、NTLM 認証通信の解析による NT ハッシュ値の入手や、NTLM Relay によるドメインレベルでの特権昇格のために、当該脆弱性に代表されるような NTLM 認証通信を強制させる手法が盛んに悪用されています。攻撃者が Active Directory ドメインに参加している端末への侵入に成功した場合、ネットワークの利用者が興味を引くようにファイルサーバー上に当該脆弱性を悪用するファイルを設置して、ドメインレベルでの権限昇格を試行する可能性が高いため、クライアント端末へのセキュリティ更新プログラムの適用による対策の徹底を推奨します。
◆深刻度(CVSS)
[CVSS v3.1 - CVE-2025-24071]
6.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-24071&vector=AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N&version=3.1&source=Microsoft%20Corporation
[CVSS v3.1 - CVE-2025-24054]
6.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-24054&vector=AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N&version=3.1&source=Microsoft%20Corporation
※ 同じ脆弱性に 2 つの CVE 番号が割り当てられています。
◆影響を受けるソフトウェア
Windows Server 2008 から Windows 11 Version 24H2 までの全てのバージョンが脆弱性の影響を受けると報告されています。
◆解説
Microsoft Windows OS に、認証情報の漏洩や Active Directory ドメイン環境での権限昇格につながる脆弱性が報告されています。
脆弱性は、Microsoft Windows OS 上でファイルを閲覧するための基本的なソフトウェアである Explorer に存在します。Microsoft では、ディレクトリの内容を単一のビューで表示するために、ライブラリファイルの機能を XML 形式の .library-ms という拡張子のファイルとして Windows 7 から導入しています。脆弱性が存在する Windows OS では、.library-ms ファイルを含む圧縮ファイルを Explorer の圧縮解除機能を用いて展開すると、直接的に閲覧しなくても .library-ms ファイルに定義されたディレクトリに対して NTLM 認証を試行してしまいます。攻撃者は自身が制御する SMB サーバーを参照先に定義した .library-ms ファイルを含む圧縮ファイルを、脆弱な Windows OS の利用者に Explorer で圧縮解除させれば、圧縮解除したアカウントに対して NTLM 認証を強制でき、NTLM 認証通信の解析による NT ハッシュ値の入手や、NTLM Relay 攻撃などに悪用できます。
◆対策
Microsoft が公開している 2025 年 3 月分のセキュリティ更新プログラムを適用してください。
◆関連情報
[1] Microsoft 公式
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071
[2] Microsoft 公式
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24054
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-24071
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-24071
[5] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-24054
[6] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-24054
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して SYSTEM 権限の奪取を試みるエクスプロイトコードが公開されています。
GitHub - ZeroMemoryEx/CVE-2025-26125
https://github.com/ZeroMemoryEx/CVE-2025-26125
#--- で始まる行は執筆者によるコメントです。
2025 年 3 月に、Microsoft Windows OS の Explorer にて、NT ハッシュ値の漏洩や Active Directory ドメインレベルでの権限昇格につながる脆弱性が公開されています。攻撃者は当該脆弱性を悪用して、ファイルを閲覧した利用者のマシンに対して NTLM 認証の試行を強制できます。セキュリティ更新プログラムの適用により対策してください。
◆分析者コメント
Active Directory ドメイン環境下では、NTLM 認証通信の解析による NT ハッシュ値の入手や、NTLM Relay によるドメインレベルでの特権昇格のために、当該脆弱性に代表されるような NTLM 認証通信を強制させる手法が盛んに悪用されています。攻撃者が Active Directory ドメインに参加している端末への侵入に成功した場合、ネットワークの利用者が興味を引くようにファイルサーバー上に当該脆弱性を悪用するファイルを設置して、ドメインレベルでの権限昇格を試行する可能性が高いため、クライアント端末へのセキュリティ更新プログラムの適用による対策の徹底を推奨します。
◆深刻度(CVSS)
[CVSS v3.1 - CVE-2025-24071]
6.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-24071&vector=AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N&version=3.1&source=Microsoft%20Corporation
[CVSS v3.1 - CVE-2025-24054]
6.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-24054&vector=AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N&version=3.1&source=Microsoft%20Corporation
※ 同じ脆弱性に 2 つの CVE 番号が割り当てられています。
◆影響を受けるソフトウェア
Windows Server 2008 から Windows 11 Version 24H2 までの全てのバージョンが脆弱性の影響を受けると報告されています。
◆解説
Microsoft Windows OS に、認証情報の漏洩や Active Directory ドメイン環境での権限昇格につながる脆弱性が報告されています。
脆弱性は、Microsoft Windows OS 上でファイルを閲覧するための基本的なソフトウェアである Explorer に存在します。Microsoft では、ディレクトリの内容を単一のビューで表示するために、ライブラリファイルの機能を XML 形式の .library-ms という拡張子のファイルとして Windows 7 から導入しています。脆弱性が存在する Windows OS では、.library-ms ファイルを含む圧縮ファイルを Explorer の圧縮解除機能を用いて展開すると、直接的に閲覧しなくても .library-ms ファイルに定義されたディレクトリに対して NTLM 認証を試行してしまいます。攻撃者は自身が制御する SMB サーバーを参照先に定義した .library-ms ファイルを含む圧縮ファイルを、脆弱な Windows OS の利用者に Explorer で圧縮解除させれば、圧縮解除したアカウントに対して NTLM 認証を強制でき、NTLM 認証通信の解析による NT ハッシュ値の入手や、NTLM Relay 攻撃などに悪用できます。
◆対策
Microsoft が公開している 2025 年 3 月分のセキュリティ更新プログラムを適用してください。
◆関連情報
[1] Microsoft 公式
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071
[2] Microsoft 公式
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24054
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-24071
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-24071
[5] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-24054
[6] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-24054
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して SYSTEM 権限の奪取を試みるエクスプロイトコードが公開されています。
GitHub - ZeroMemoryEx/CVE-2025-26125
https://github.com/ZeroMemoryEx/CVE-2025-26125
#--- で始まる行は執筆者によるコメントです。
