Microsoft の 2025 年 7 月の月例パッチのロールアウトでは、パッチ適用前の SQL Server のバグや、ドメイン コントローラー、Office アプリケーション、.NET Framework に影響するその他の影響の大きいセキュリティ問題など、137 件の脆弱性に対する修正が提供されました。
SQL Serverの2つの脆弱性により、データ漏洩とリモートコード実行の懸念が高まる
マイクロソフトは今月、SQL Server の 2 つの脆弱性を修正しました。1 つはメモリの露出に関するもので、もう 1 つはリモート コード実行 (RCE) を許可するものです。
アップデートに先立って公開されたCVE-2025-49719は、認証されていない攻撃者が細工したクエリを送信することで、初期化されていないメモリを抽出できる脆弱性です。現在、実際に悪用されている事例は確認されていませんが、公開されたことでリスクプロファイルが大幅に高まりました。さらに、CVE-2025-49719の概念実証エクスプロイトが公開されています。
「概念実証のエクスプロイトが共有されると、脅威アクターがその概念実証を入手して悪用を開始するまでの時間は通常非常に短いため、組織はCVE-2025-49719に迅速に対処する必要があります」と、インテリジェンスソリューション企業Nightwingのサイバーインシデント対応マネージャー、ニック・キャロル氏はTechRepublicへの電子メールで述べた。
「この脆弱性は、SQL Serverのメモリ管理における不適切な入力検証に起因している可能性が高いため、初期化されていないメモリへのアクセスが可能になる」と、Action1の社長兼共同創設者であるマイク・ウォルターズ氏はTechRepublicへのメールで述べた。「その結果、攻撃者は資格情報や接続文字列といった機密データの残骸を取得する可能性がある。これはSQL ServerエンジンとOLE DBドライバーを使用するアプリケーションの両方に影響する。」
ウォルターズ氏によると、攻撃者は漏洩したデータを利用してさらなる攻撃を仕掛け、SQLインジェクションの改良、認証のバイパス、あるいはラテラルムーブメントを行う可能性があるという。2つ目の脆弱性であるCVE-2025-49717は、CVSSスコア8.5のリモートコード実行(RCE)脆弱性である。ヒープベースのバッファオーバーフローに起因するこの脆弱性により、認証された攻撃者はSQL Serverサービスアカウントの権限でネットワーク経由で任意のコードを実行できる。事前の開示はないものの、その深刻度は、影響を受けるシステムを保護するために早急な対応とパッチ適用が必要であることを意味する。
「マイクロソフトは、脆弱性の悪用は考えにくいと評価しているが、深刻度が重大であること、リモート攻撃ベクトル、ユーザーインタラクションの欠如、攻撃範囲の変更が可能であることなどから、深刻な懸念事項となっている」とウォルターズ氏は述べた。
Microsoft SQL Server を実行している組織は、両方の問題を優先度の高い問題として扱い、潜在的な侵害を軽減するためにパッチを速やかに適用する必要があります。
Netlogon のバグによりドメイン コントローラーがリモート クラッシュの危険にさらされる
Netlogonプロトコルにおける高リスクの脆弱性も修正されました。CVE-2025-47978は、ネットワーク上の権限の低いデバイスからWindowsドメインコントローラーをリモートでクラッシュさせる可能性があります。この脆弱性が悪用されると、Active Directoryサービスと認証プロセスが無効化され、広範囲にわたるサービス中断が発生する可能性があります。
これは、エンタープライズ環境にとって大きな影響を与える脅威であり、影響を受けるすべてのドメイン コントローラーにすぐにパッチを適用する必要があります。
アイデンティティセキュリティ企業 Silverfort の上級セキュリティ研究者 Dor Segal 氏が CVE-2025-47978 を発見し、NOTLogon と名付けました。
「この脆弱性は、有効なマシンアカウントと細工されたRPCメッセージだけが、認証、承認、ポリシー適用など、Active Directoryの運用の基盤であるドメインコントローラーをダウンさせることができることを示しています」と、Segal氏はTechRepublicへのメールで述べています。「複数のドメインコントローラーが影響を受けると、業務が停止する可能性があります。NOTLogonは、特に特権認証サービスにおける新しいプロトコル機能が、一夜にして攻撃対象になり得ることを改めて認識させてくれます。」
SPNEGOの脆弱性によりネットワーク経由でRCEが可能になる
今月修正されたもう一つの重大な脆弱性は、WindowsのSPNEGO Extended Negotiationコンポーネントにおけるリモートコード実行(RCE)の脆弱性であるCVE-2025-47981です。CVSSスケールで深刻度スコア9.8と、今回の更新サイクルで最も深刻な問題の一つにランクされています。Microsoftは、攻撃者がユーザーの介入なしにネットワークアクセスを介してこのバグを悪用し、影響を受けるデバイスのシステム全体を乗っ取る可能性があると指摘しています。
「このバグは特異なものです。悪用される可能性が高いと考えられているものの、特定のグループポリシーオブジェクトがデフォルトで有効になっているため、Windows 10 バージョン 1607 以降にのみ影響します」と、サイバーセキュリティ企業 Tenable のシニアスタッフリサーチエンジニア、サトナム・ナラン氏は、TechRepublic への電子メールで指摘しています。
Office の欠陥により、プレビュー パネルからコード実行が引き起こされる可能性がある
このアップデートでは、Microsoft Office の RCE バグがいくつか修正されました。これらのバグにより、Outlook のプレビュー ウィンドウ内を含む、感染したドキュメントをユーザーが開いたりプレビューしたりするだけで、攻撃者が悪意のあるコードを実行できるようになります。
これらの脆弱性は、公開ドキュメントではCVEごとに個別に記載されていませんが、今月のWindowsの累積更新プログラムに含まれています。フィッシングメールやWeb配信のOfficeファイルによる悪用が容易であることを考えると、組織はこれらの脆弱性をエンドユーザーへの侵害の深刻なリスク要因として扱う必要があります。
「悪意のある添付ファイルや共有ドキュメントを通じて簡単に配布できるため、ローカル攻撃ベクトルとして分類されているにもかかわらず、これは高リスクの脆弱性となっています」と、サイバーレジリエンス企業イマーシブの主任サイバーセキュリティエンジニア、ベン・マッカーシー氏はテックリパブリックへの電子メールで述べた。
.NET Framework のアップデートで RCE と権限昇格のバグが修正される
Microsoftの月例パッチ(月例パッチ)の一環として、Windows 10 バージョン 1809 および Windows Server 2019 向けに、.NET Framework 3.5、4.7.2、4.8 の累積的な更新プログラム(KB5062152)がリリースされました。この更新プログラムには、ASP.NET および Windows Forms 上に構築されたエンタープライズ アプリケーションにおいて RCE または権限昇格につながる可能性のある、以前に公開された内部セキュリティ問題が含まれています。
具体的な CVE は記載されていませんが、この更新プログラムには、古いまたはカスタムの .NET 実装に基づいて構築されたエンタープライズ アプリケーションに対する有効な保護が含まれています。
今月は悪用事例は確認されていませんが、公開されている脆弱性と複数の高リスク脆弱性が存在するため、今回のパッチサイクルは迅速な対応が不可欠です。特にSQL Serverやドメインコントローラーを実行している環境では、更新プログラムを広く展開する前にテストすることをお勧めします。
サイバー脅威が発生する前に防御する方法に関する TechRepublic のガイドをお読みください。
TechnologyAdvice のライター Megan Crouse がこの記事、特にサイバーセキュリティ専門家の分析に貢献しました。
