マイクロソフトは、ハッカーがゼロデイ攻撃として悪用した Power Pages の特権昇格の脆弱性について、セキュリティ情報を発表した。
CVE-2025-24989として追跡されているこの欠陥は、Power Pagesに影響する不適切なアクセス制御の問題であり、権限のない行為者がネットワーク上で特権を昇格させ、ユーザー登録制御をバイパスすることを可能にする。
マイクロソフト社によると、サービスレベルでこのリスクに対処し、影響を受ける顧客にはそれに従って通知し、潜在的な侵害を検出する方法についての説明を同封したという。
「この脆弱性はすでにサービス内で緩和されており、影響を受けるすべての顧客に通知済みです。このアップデートは、登録制御のバイパスに対処しました。
「影響を受けるお客様には、悪用される可能性のあるサイトを確認し、クリーンアップする方法をご案内しています。通知を受け取っていない場合、この脆弱性は影響しません。”
Microsoft Power Pagesは、ローコード、SaaSベースのウェブ開発プラットフォームであり、ユーザーは安全な外部向けビジネスウェブサイトを作成、ホスト、管理することができる。
これは、Power BI、Power Apps、Power Automateなどのツールを含むMicrosoft Power Platformの一部です。
Power Pagesはクラウドベースのサービスであるため、悪用はリモートで行われたと推測される。
ソフトウェア大手は、この欠陥が攻撃でどのように悪用されたかについての詳細は明らかにしていない。
Power Pagesの欠陥に加え、マイクロソフトは昨日、Bingのリモート・コード実行の脆弱性も修正しており、この脆弱性はCVE-2025-21355として追跡されているが、悪用されたとマークされていない。
問題は修正されたが、チェックが必要
マイクロソフトはすでにPower Pagesサービスに修正プログラムを適用しており、ベンダーは影響を受けるクライアントに対して直接ガイダンスを非公開で共有している。それでも、ユーザーが考慮すべき一般的なセキュリティ上のアドバイスがいくつかある。
管理者は、不審なアクション、ユーザー登録、または不正な変更がないか、アクティビティログを確認する必要があります。
CVE-2025-24989は特権昇格のバグであるため、ユーザーリストも精査し、管理者や高特権ユーザーを確認すること。
特権、セキュリティ・ロール、権限、ウェブ・ページ・アクセス制御の最近の変更をさらに調べるべきである。
不正なアカウントや不正な活動を示すアカウントは直ちに失効させ、影響を受けた認証情報はリセットし、すべてのアカウントで多要素認証(MFA)を実施すべきである。
マイクロソフトから通知がなかった場合、あなたのシステムは影響を受けていない可能性が高い。
Comments