PR

Windows 10 KB5071546 ESUとCVE-2025-54100対策解説

Security

Source:https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-10-kb5071546-extended-security-update/

🛡 概要

MicrosoftはWindows 10向け拡張セキュリティ更新プログラム(ESU)KB5071546を公開し、合計57件の脆弱性を修正しました。うち3件はゼロデイで、PowerShellのリモートコード実行(RCE)脆弱性CVE-2025-54100が含まれます。本更新はセキュリティ修正に特化しており、新機能の追加はありません。Windows 10はビルド19045.6691、Windows 10 Enterprise LTSC 2021はビルド19044.6691に更新されます。ESU加入環境またはWindows 10 Enterprise LTSCでは、設定→Windows Updateで手動チェック、または自動適用により再起動が求められます。Microsoftは既知の不具合はないとしています。

🔍 技術詳細

問題の本質は、PowerShell 5.1のInvoke-WebRequest(iwr)実行時に、取得先のWebページを解析する過程で埋め込まれたスクリプトが実行され得る点です。PowerShell 5.1は互換性のためDOM解析にレガシーコンポーネントを利用する設計があり、攻撃者が細工したページを用意し、管理者やスクリプトがiwrで取得すると、ユーザー権限コンテキストでスクリプトが実行されるリスクが生じます。これはファイルダウンロードやヘルスチェック等でiwrを多用する自動化タスク、構成管理、ログ収集スクリプトなどで顕在化します。

KB5071546適用後、PowerShell 5.1はiwr実行時に「Webページ解析でスクリプトが実行される可能性がある」旨のセキュリティ警告を表示し、続行/中止を選択できます。不審・不明なURLに対しては、-UseBasicParsing を付与し、DOM解析を避けることでスクリプト実行を抑止できます。Microsoftは「いつ・どのようにこのスイッチを使うべきか」に関するアドバイザリも公開しています。なお、CVE-2025-54100のCVSSスコアは(執筆時点で)公表されていません。

⚠ 影響

攻撃者は、管理スクリプトやSaaS連携ジョブ内のiwr呼び出しを悪用し、細工したURLに誘導するだけで標的端末上でスクリプトを実行できる可能性があります。高権限(ローカル管理者やサービスアカウント)で動作するタスクが影響を受けると、横展開や追加マルウェアの取得・実行に繋がり得ます。プロキシ越しのアウトバウンドOnlyな環境でも、許可ドメインが侵害・乗っ取りされた場合にリスクは残ります。

🛠 対策

  • パッチ適用: すべての対象端末にKB5071546を早期適用。WSUS/Intune/SCCMでの強制展開と再起動計画を立案。
  • 運用ガードレール: 不要なiwr使用を削減。外部URL取得が必要な場合は -UseBasicParsing をデフォルトで付与(スクリプト標準化)。
  • 実行ポリシー/言語モード: ExecutionPolicyはAllSigned、管理端末はConstrained Language ModeやWDAC/AppLockerでPowerShellのLoLBins悪用を制限。
  • AMSI/AV統合: Microsoft Defender/他社AVのAMSI連携を有効化し、スクリプト検査とクラウド保護をオン。
  • ネットワーク制御: URL許可リスト方式(プロキシ/Firewall)で未知ドメインへのHTTP(S)を遮断。DNSフィルタで新規登録ドメイン(Newly Observed)を制限。
  • 運用レビュー: 自動化タスク・CI/CD・構成管理でのiwr使用箇所を棚卸しし、信頼できるミラー/アーティファクトリに切替。

📌 SOC視点

  • Windows PowerShellログ: Script Block Logging(Event ID 4104)、Module Logging(4103)、Engine(400/403)を有効化。CommandLineに「Invoke-WebRequest」「iwr」「-UseBasicParsingの不在」を含む実行をモニタ。
  • プロセス監視: 4688(プロセス作成)で powershell.exe/pwsh.exe が実行後に mshta.exe、rundll32.exe、regsvr32.exe、wscript.exe などの子プロセスを生成する連鎖を検知。
  • ネットワーク/EDR: 不審ドメイン・IPへのHTTP(S)通信、特にiwr直後のペイロード取得と実行の一連を相関。Defender for Endpoint等でT1059.001関連のアラート優先度を引き上げ。
  • ハンティング例: 直近7日で iwr を含むPowerShell実行のうち未知ドメイン(社内許可リスト外)へのアクセス、-UseBasicParsing未使用、対話型で警告を無視して続行した痕跡を抽出。

📈 MITRE ATT&CK

  • TA0002 実行 / T1059.001 PowerShell: iwrを介したスクリプト実行が本脆弱性の中心(修正で確認プロンプト追加)。
  • TA0002 実行 / T1203 Exploitation for Client Execution: クライアント側(PowerShell/コンポーネント)の脆弱性を突いてコード実行。
  • TA0001 初期アクセス / T1189 Drive-by Compromise: ユーザ/スクリプトが不正ページを取得した際に発火するシナリオに整合。

🏢 組織規模別助言

  • 小規模(〜50名): Windows Update自動適用と再起動を徹底。管理端末はAllSignedに固定し、汎用スクリプトからの外部取得を停止。
  • 中規模(50〜500名): WSUS/IntuneでKB5071546をフェーズ配布。AppLockerでPowerShellの実行元を署名付きに制限し、プロキシでURL許可リストを運用。
  • 大規模(500名以上): 変更加速窓を設定し、CAB/環境別リング配布。EDRの抑止ルールでiwr+子プロセス連鎖を即時隔離。全自動化基盤のアーティファクト取得先を内製レジストリへ集約。

🔎 類似事例

HTML/スクリプト解析経由のコード実行として、CVE-2021-40444(MSHTML RCE)、CVE-2022-30190(Follina: MSDT RCE)、CVE-2023-36884(Office/Windows HTML RCE)などが参考になります。いずれもコンテンツ取得・解析の文脈で任意コード実行に至る共通点があります。

🧭 次の一手

まずは全端末のKB5071546適用状況を可視化し、iwr使用スクリプトの棚卸しと是正(-UseBasicParsing付与、取得先の信頼性担保)を実施してください。次に、PowerShellの監査強化(4103/4104、AMSI、AppLocker/WDAC)を恒久化し、EDRハンティングクエリを定常運用へ組み込みましょう。詳細な手順は「PowerShell セキュリティ実践ガイド」「WDAC/AppLocker 導入手引き」を参照するとスムーズです。