MicrosoftがWindows VMBusの脆弱性CVE-2025-29833を公開、複数OSバージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年05月のアーカイブ一覧
【2025年05月】セキュリティに関するアーカイブ一覧
【2025年05月08日】セキュリティに関するアーカイブ一覧
MicrosoftがWindows VMBusの脆弱性CVE-2025-29833を公開、複数OSバージョンに影響

記事の要約

MicrosoftがWindowsのVMBusにおけるリモートコード実行の脆弱性CVE-2025-29833を公開した
Windows 10、Windows Server 2019、Windows Server 2022、Windows 11など複数のOSバージョンに影響する
タイムオブチェック・タイムオブユース(TOCTOU)競合状態が原因で、ローカルでのコード実行を許可する

Microsoft Virtual Machine Bus (VMBus)リモートコード実行脆弱性に関する情報

Microsoftは2025年5月13日に、Windows Virtual Machine Bus (VMBus)におけるリモートコード実行の脆弱性CVE-2025-29833に関する情報を公開した。この脆弱性は、タイムオブチェック・タイムオブユース(TOCTOU)競合状態が原因で発生するもので、不正な攻撃者がローカルでコードを実行することを許可する可能性があるのだ。

影響を受けるのは、Windows 10 Version 1809、Windows Server 2019、Windows Server 2019 (Server Core installation)、Windows Server 2022、Windows 10 Version 21H2、Windows 11 version 22H2、Windows 10 Version 22H2、Windows Server 2025 (Server Core installation)、Windows 11 version 22H3、Windows 11 Version 23H2、Windows Server 2022, 23H2 Edition (Server Core installation)、Windows 11 Version 24H2、Windows Server 2025、Windows 10 Version 1507、Windows 10 Version 1607、Windows Server 2016、Windows Server 2016 (Server Core installation)、Windows Server 2012、Windows Server 2012 (Server Core installation)、Windows Server 2012 R2、Windows Server 2012 R2 (Server Core installation)など、複数のWindowsオペレーティングシステムとバージョンである。

Microsoftは、それぞれのバージョンに対して修正プログラムを提供しており、ユーザーは速やかにアップデートを行う必要がある。この脆弱性は、CVSSスコアが7.7と高く、深刻度がHIGHと評価されているため、早急な対応が求められるのだ。

影響を受けるWindows製品とバージョン

製品名	影響を受けるバージョン	修正済みバージョン
Windows 10 Version 1809	10.0.17763.0以前	10.0.17763.7314以降
Windows Server 2019	10.0.17763.0以前	10.0.17763.7314以降
Windows Server 2019 (Server Core installation)	10.0.17763.0以前	10.0.17763.7314以降
Windows Server 2022	10.0.20348.0以前	10.0.20348.3692以降
Windows 10 Version 21H2	10.0.19044.0以前	10.0.19044.5854以降
Windows 11 version 22H2	10.0.22621.0以前	10.0.22621.5335以降
Windows 10 Version 22H2	10.0.19045.0以前	10.0.19045.5854以降
Windows Server 2025 (Server Core installation)	10.0.26100.0以前	10.0.26100.4061以降
Windows 11 version 22H3	10.0.22631.0以前	10.0.22631.5335以降
Windows 11 Version 23H2	10.0.22631.0以前	10.0.22631.5335以降
Windows Server 2022, 23H2 Edition (Server Core installation)	10.0.25398.0以前	10.0.25398.1611以降
Windows 11 Version 24H2	10.0.26100.0以前	10.0.26100.4061以降
Windows Server 2025	10.0.26100.0以前	10.0.26100.4061以降
Windows 10 Version 1507	10.0.10240.0以前	10.0.10240.21014以降
Windows 10 Version 1607	10.0.14393.0以前	10.0.14393.8066以降
Windows Server 2016	10.0.14393.0以前	10.0.14393.8066以降
Windows Server 2016 (Server Core installation)	10.0.14393.0以前	10.0.14393.8066以降
Windows Server 2012	6.2.9200.0以前	6.2.9200.25475以降
Windows Server 2012 (Server Core installation)	6.2.9200.0以前	6.2.9200.25475以降
Windows Server 2012 R2	6.3.9600.0以前	6.3.9600.22577以降
Windows Server 2012 R2 (Server Core installation)	6.3.9600.0以前	6.3.9600.22577以降

TOCTOU競合状態について

TOCTOUとは、Time-of-check Time-of-useの略で、タイムオブチェック・タイムオブユース競合状態を指す。

チェックと使用の間に状態が変化する可能性がある
セキュリティ上の脆弱性を引き起こす可能性がある
適切なアクセス制御が重要となる

この競合状態は、システムがリソースの状態をチェックした後に、その状態が変更される前にリソースを使用する際に発生する。この間に状態が変化すると、不正なアクセスや操作が行われる可能性があるのだ。

CVE-2025-29833に関する考察

今回の脆弱性CVE-2025-29833は、深刻なセキュリティリスクであるため、Microsoftによる迅速な対応は評価できる。しかし、全てのユーザーが速やかにアップデートを行うとは限らないため、ゼロデイ攻撃などのリスクも残るだろう。企業は、セキュリティ対策を強化し、定期的なシステムアップデートを実施する必要がある。

今後、同様の脆弱性が発見される可能性も否定できない。そのため、Microsoftは、VMBusだけでなく、他のWindowsコンポーネントについても継続的なセキュリティ監査を実施し、脆弱性の早期発見と修正に努めるべきだ。また、ユーザーに対しても、セキュリティアップデートの重要性を周知徹底する必要がある。

さらに、攻撃手法の高度化に対抗するため、より高度なセキュリティ技術の導入も検討すべきだろう。例えば、多要素認証や侵入検知システムなどを活用することで、セキュリティレベルを向上させることが可能となる。