研究者らは、現在広く悪用されている2つのWindows脆弱性を特定しました。これには、2017年以来攻撃者に知られているゼロデイの欠陥が含まれます。Microsoftはまだゼロデイのパッチを適用していませんが、2番目の深刻な問題は初期のパッチが不完全だった後、緊急修正を受けました。これらの攻撃は複数の国々のユーザーを対象とし、先進的な持続的脅威を含みます。
最初の脆弱性は、CVE-2025-9491として追跡されており、Windowsショートカットのバイナリ形式におけるゼロデイで、2017年以来悪用されています。セキュリティ企業Trend Microが3月に発見し、ほぼ60カ国で最大11の先進的持続的脅威(APT)グループによる悪用を指摘しました。米国、カナダ、ロシア、韓国が最も影響を受けています。これらのAPTは、しばしば国家と関連付けられ、当初ZDI-CAN-25373と指定された欠陥を使用して、さまざまなポストエクスプロイトペイロードを展開しました。7か月後、Microsoftはまだパッチを発行していません。
木曜日、Arctic Wolfは、中国寄りのグループUNC-6384による、さまざまな欧州諸国での標的に対する悪用を報告しました。攻撃はリモートアクセストロイの木馬PlugXを配信し、バイナリを最終段階までRC4形式で暗号化された状態に保ちます。Arctic Wolfは次のように述べました:「短期間内の複数の欧州諸国にわたる標的の広範さは、大規模な調整された情報収集作戦、または共有ツールを使用するが独立した標的を持つ複数の並行運用チームの展開を示唆しています。」欠陥の深刻度は10のうち7と評価されており、ユーザーはWindowsエクスプローラーの設定で信頼できないソースからの.lnkファイルを制限することでリスクを軽減できます。
2番目の脆弱性、CVE-2025-59287は、Windows Server Update Services(WSUS)に影響を与え、シリアル化の欠陥によりリモートコード実行を可能にします。深刻度9.8でワーム可能であり、Microsoftの10月のパッチチューズデーで最初に扱われましたが、パブリックなプルーフ・オブ・コンセプトコードが現れた後、不完全であることが判明しました。先週の予定外の更新で適切な修正が提供されました。Huntressは10月23日からの悪用を観察し、SophosとEyeは10月24日からの複数の顧客環境での活動を業界横断的に報告しました。Sophosは次のように述べました:「数時間にわたる活動の波は、インターネット向けWSUSサーバーを標的にし、さまざまな業界の顧客に影響を与え、標的型攻撃のように見えませんでした。」攻撃者がパブリックなプルーフ・オブ・コンセプトを使用したか独自のエクスプロイトを開発したかは不明です。
管理者には、利用可能な場所で脆弱性を確認しパッチを適用することが推奨されますが、CVE-2025-9491についてはスケジュールが存在しません。