セキュリティ

SECURITY

公開：2025-01-29

【CVE-2025-21294】WindowsのDigest認証に重大な脆弱性、複数バージョンで早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WindowsのDigest認証に重大な脆弱性が発見
• 複数のWindowsバージョンが影響を受ける
• CVSSスコア8.1の深刻度の高い脆弱性

MicrosoftのDigest認証に重大な脆弱性、複数のWindowsバージョンに影響

Microsoftは2025年1月14日、Windows OSのDigest認証機能においてリモートでコード実行が可能となる重大な脆弱性【CVE-2025-21294】を公開した。この脆弱性はCVSSスコア8.1と評価され、攻撃者が特権なしでリモートから任意のコードを実行できる可能性があるため、早急な対応が必要とされている。^[1]

影響を受けるバージョンには、Windows 10の複数のバージョン、Windows 11 version 22H2から24H2、Windows Server 2008から2025まで、およびそれらのServer Core installationが含まれている。脆弱性の具体的な種類はCWE-591に分類され、不適切にロックされたメモリ内の機密データ保存に関する問題であると特定された。

Microsoft社は該当するすべてのWindowsバージョンに対してセキュリティパッチを提供している。システム管理者は早急にパッチを適用し、システムを最新の状態に更新することが推奨される。また、この脆弱性に対する緩和策として、未パッチのシステムではDigest認証の使用を一時的に制限することが推奨されている。

影響を受けるWindowsバージョンまとめ

CWE-591について

CWE-591とは、Common Weakness Enumeration（共通脆弱性タイプ一覧）において定義される脆弱性の一種で、機密データの不適切なメモリロックに関する問題を指す。この脆弱性に関して、以下のような特徴が挙げられる。

• メモリ内の機密データが適切に保護されていない状態
• 機密情報が意図せず他のプロセスから読み取られる可能性
• システムのセキュリティを著しく低下させる要因となる

CWE-591の脆弱性は、攻撃者がメモリ内の保護されていない機密データにアクセスすることで、重要な情報を窃取される可能性がある。本脆弱性の場合、WindowsのDigest認証機能において不適切なメモリ管理が行われており、攻撃者がリモートから認証情報を取得できる可能性が指摘されている。

WindowsのDigest認証脆弱性に関する考察

この脆弱性の影響範囲が広範であることから、企業や組織のシステム管理者は早急なパッチ適用が求められる状況となっている。特にWindows Server環境では、Digest認証が重要な認証メカニズムとして使用されている可能性が高く、パッチ適用までの間の代替認証方式の検討も必要となるだろう。

今後は同様の認証関連の脆弱性を防ぐため、Microsoftによる認証機能の設計見直しと、より強固なメモリ保護メカニズムの実装が期待される。特にServer Core installationのような最小構成のサーバー環境でも、セキュリティ機能の堅牢性を確保することが重要となってくるだろう。

また、WindowsのDigest認証機能の利用状況を把握し、必要に応じて代替認証方式への移行を検討することも有効な対策となる。今回の脆弱性を機に、組織全体の認証基盤の見直しと、よりセキュアな認証方式の採用を推進することが望ましい。

参考サイト

1. ^ CVE. 「CVE-2025-21294 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21294, (参照 25-01-29).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧