セキュリティ

SECURITY

公開：2025-02-18

【CVE-2025-21419】WindowsのSetup Files Cleanupに権限昇格の脆弱性、広範なバージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Windowsセットアップファイルのクリーンアップに権限昇格の脆弱性
• CVE-2025-21419として特定された重大な脆弱性
• Windows 10、11、Server全バージョンに影響

Windows Setup Files Cleanupの権限昇格の脆弱性が発見

Microsoftは2025年2月11日、Windows Setup Files Cleanupに権限昇格の脆弱性【CVE-2025-21419】を発見したことを発表した。この脆弱性はCVSS v3.1で深刻度7.1のHIGHと評価され、不適切なリンク解決によるファイルアクセスの問題に分類されている。^[1]

この脆弱性は、Windows 10のバージョン1507から最新のWindows 11 Version 24H2まで、さらにWindows Server 2008 R2からWindows Server 2025まで、広範なバージョンに影響を及ぼすことが判明した。攻撃には低レベルの権限が必要とされるが、ユーザーインターフェースの操作は不要とされている。

Microsoftは各影響を受けるバージョンに対してセキュリティアップデートを提供しており、Windows 10 Version 1809ではバージョン10.0.17763.6893、Windows Server 2019では同じくバージョン10.0.17763.6893などが修正バージョンとして公開されている。早急なアップデートの適用が推奨される状況だ。

影響を受けるWindowsバージョンまとめ

サーバサイドリクエストフォージェリについて

サーバサイドリクエストフォージェリとは、攻撃者がサーバーに不正なリクエストを送信し、サーバーに特定のアクションを実行させる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• サーバー側で実行される不正なリクエストの強制
• 内部ネットワークへのアクセス権限の取得
• 機密情報の漏洩やシステム改ざんのリスク

Windows Setup Files Cleanupの脆弱性では、不適切なリンク解決によるファイルアクセスの問題が存在している。この脆弱性は、CWE-59として分類され、攻撃者が低い権限でシステムに影響を与えることが可能となっている。

Windows Setup Files Cleanup脆弱性に関する考察

Windows Setup Files Cleanupの脆弱性が広範なバージョンに影響を及ぼしていることは、Windowsエコシステム全体のセキュリティに関わる重要な問題だ。特にWindows Server環境への影響は、企業のIT基盤に対する潜在的なリスクとなっており、早急な対応が求められている。セキュリティアップデートの提供は迅速だが、組織全体での展開には時間とリソースが必要となるだろう。

今後は同様の権限昇格の脆弱性を防ぐため、Windowsのファイルシステム権限管理の強化が期待される。特にレガシーシステムとの互換性を維持しながら、セキュリティを向上させる技術的なアプローチが必要となっている。Microsoftには、より堅牢なセキュリティ設計の実装を期待したい。

また、脆弱性の影響範囲が複数のバージョンに及ぶことから、バージョン管理とセキュリティパッチの展開プロセスの見直しも重要だ。組織はパッチ管理戦略を見直し、より効率的な脆弱性対応プロセスを確立する必要がある。今後のWindowsプラットフォームのセキュリティ強化に向けた取り組みに注目が集まるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21419, (参照 25-02-18).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧