◆概要
2025 年 8 月に公開された、Windows ファイルエクスプローラーの脆弱性の悪用手順が公開されています。Active Directory で管理されている Windows OS への侵入に成功した攻撃者は、脆弱性の悪用によりハッシュ値を入手し、侵入範囲の拡大ができる可能性があります。セキュリティ更新プログラムの適用により対策してください。
◆分析者コメント
単独の Windows OS には影響が少ない脆弱性ですが、Active Directory により構成された組織ネットワーク環境に属する Windows OS では、侵入範囲を拡大するために悪用される可能性が高い脆弱性です。組織が管理する Windows OS 端末への侵入に成功した攻撃者は、当該脆弱性を悪用するファイルを共有サーバーに設置すれば、ファイルが保存されたディレクトリにアクセスしたアカウントのパスワードを元に生成されたハッシュ値が含まれた認証通信を取得できるため、平文パスワードの入手が可能となります。Active Directory 環境では、高い権限を持つ NTLM 認証通信をリレーして侵入範囲を拡大できる可能性があるため、注意が必要な脆弱性です。
◆深刻度(CVSS)
[CVSS v3.1]
6.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-50154&vector=AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N&version=3.1&source=Microsoft%20Corporation
◆影響を受けるソフトウェア
Windows 11 24H2 およびそれよりも古い Windows OS が当該脆弱性の影響を受けると報告されています。
◆解説
Microsoft Windows OS にて、ユーザーが GUI を操作するためのプログラムである Windows ファイルエクスプローラーにて、Active Directory 環境内での侵入範囲の拡大につながる可能性がある脆弱性が報告されています。
脆弱性は Windows ファイルエクスプローラーにおけるショートカットファイル(.lnk)の処理に存在します。脆弱性が含まれる Windows ファイルエクスプローラーでは、.lnk ファイルを GUI 上に表示するだけで、.lnk ファイル内に定義されたリンク先への通信が発生します。攻撃者は当該脆弱性を悪用して NTLM 認証通信を強制させることで、ユーザーの認証情報の NTLM ハッシュ値の入手や、認証通信のリレーによる侵入範囲の拡大に悪用できる可能性があります。
◆対策
2025 年 8 月分のセキュリティ更新プログラムを適用してください。
◆関連情報
[1] Microsoft 公式
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-50154
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-50154
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-50154
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用してアカウントの NTLM ハッシュ値の入手を試行する .lnk ファイルを作成する手順が記述されています。
Cymulate 社公式ブログ
https://cymulate.com/blog/zero-click-one-ntlm-microsoft-security-patch-bypass-cve-2025-50154/
#--- で始まる行は執筆者によるコメントです。
2025 年 8 月に公開された、Windows ファイルエクスプローラーの脆弱性の悪用手順が公開されています。Active Directory で管理されている Windows OS への侵入に成功した攻撃者は、脆弱性の悪用によりハッシュ値を入手し、侵入範囲の拡大ができる可能性があります。セキュリティ更新プログラムの適用により対策してください。
◆分析者コメント
単独の Windows OS には影響が少ない脆弱性ですが、Active Directory により構成された組織ネットワーク環境に属する Windows OS では、侵入範囲を拡大するために悪用される可能性が高い脆弱性です。組織が管理する Windows OS 端末への侵入に成功した攻撃者は、当該脆弱性を悪用するファイルを共有サーバーに設置すれば、ファイルが保存されたディレクトリにアクセスしたアカウントのパスワードを元に生成されたハッシュ値が含まれた認証通信を取得できるため、平文パスワードの入手が可能となります。Active Directory 環境では、高い権限を持つ NTLM 認証通信をリレーして侵入範囲を拡大できる可能性があるため、注意が必要な脆弱性です。
◆深刻度(CVSS)
[CVSS v3.1]
6.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-50154&vector=AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N&version=3.1&source=Microsoft%20Corporation
◆影響を受けるソフトウェア
Windows 11 24H2 およびそれよりも古い Windows OS が当該脆弱性の影響を受けると報告されています。
◆解説
Microsoft Windows OS にて、ユーザーが GUI を操作するためのプログラムである Windows ファイルエクスプローラーにて、Active Directory 環境内での侵入範囲の拡大につながる可能性がある脆弱性が報告されています。
脆弱性は Windows ファイルエクスプローラーにおけるショートカットファイル(.lnk)の処理に存在します。脆弱性が含まれる Windows ファイルエクスプローラーでは、.lnk ファイルを GUI 上に表示するだけで、.lnk ファイル内に定義されたリンク先への通信が発生します。攻撃者は当該脆弱性を悪用して NTLM 認証通信を強制させることで、ユーザーの認証情報の NTLM ハッシュ値の入手や、認証通信のリレーによる侵入範囲の拡大に悪用できる可能性があります。
◆対策
2025 年 8 月分のセキュリティ更新プログラムを適用してください。
◆関連情報
[1] Microsoft 公式
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-50154
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-50154
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-50154
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用してアカウントの NTLM ハッシュ値の入手を試行する .lnk ファイルを作成する手順が記述されています。
Cymulate 社公式ブログ
https://cymulate.com/blog/zero-click-one-ntlm-microsoft-security-patch-bypass-cve-2025-50154/
#--- で始まる行は執筆者によるコメントです。
