Remote Access Connection Managerのゼロデイ脆弱性
ここからは、Shai-Hulud 2.0とはまったく別の話題、WindowsのRemote Access Connection Manager(リモートアクセス接続マネージャー、RasMan)に関するゼロデイ脆弱性についてだ。
現時点ではマイクロソフトから公式な修正が提供されていない
マイクロソフトユーザーにとってのサイバーセキュリティに関する悪いニュースは残念ながら、ロンドンのバスのようなものに感じられることが多い。つまり、重大なニュースが1件現れると、その後にすぐ別のニュースが続けざまにやって来るということだ。Shai-Hulud 2.0に関する警告もその1例であり、これに続いて、RasManに影響し、現時点ではマイクロソフトから公式な修正が提供されていないゼロデイ脆弱性に関するアラートが出ている。とはいえ、これが「まったく対応策がない」という意味ではないことは強調しておきたい。その点については後述する。まず、この新しいRasMan脆弱性とは何なのか。
マイクロパッチサービス0patchを提供するACROS Securityの研究者によれば、すでに修正済みのWindows RasMan特権昇格脆弱性CVE-2025-59230を解析していた際に、別の脆弱性が明るみに出たという。今度の脆弱性は特権昇格の問題ではなく、サービス拒否(DoS)に関するものだ。ちなみに念のため付け加えると、RasManは、マイクロソフト宇宙の無名のスーパーヒーローを指すわけではなく、リモートネットワークやVPN接続を管理するサービスである。そのため、停止してしまっては本当に困る、極めて重要な存在だ。残念ながら、最新のこの脆弱性を修正するマイクロソフトのパッチは存在しない一方で、攻撃機能はすでに存在しており、オンラインで流通している。
「われわれは、非管理者のWindowsユーザーとして起動した場合に、ローカルシステム権限で任意のローカルコード実行が可能であることを示す(CVE-2025-59230向けの)攻撃を発見した」と、ACROS SecurityのCEOで共同創業者であるミチャ・コルセクは述べる。しかし、ここで問題にしているのはそれではない。「このエクスプロイトには、別の脆弱性を悪用するエクスプロイトも含まれており、それが今日まで未修正のままであることが判明した」とコルセクは述べている。
ACROSのチームが突き止めたところによると、この脆弱性は、ありがちだが、欠陥のあるコーディングロジックにさかのぼることができるという。本質的には、メモリーアクセス違反を引き起こし、その結果としてRasManサービスがクラッシュしてしまう。技術的な内容に関心の高い読者は、コルセクが米国時間12月12日に公開したレポートの中で、この仕組みを詳細に確認できる。
0patchが提供する無償のマイクロパッチを利用可能
筆者はパッチ提供の見通しについてマイクロソフトにコメントを求めているが、それまでは、公式の修正が利用可能になるまでの間、0patchが提供する無償のマイクロパッチを利用できる。
