Microsoftは、最大の共通脆弱性スコアリングシステム(CVSS)の重大度評価を10.0に受け取ったものを含む、コアクラウドサービスに影響を与える複数の重要なセキュリティ脆弱性の存在を確認しました。

これらの欠陥の重要な性質にもかかわらず、Microsoftは、確認された脆弱性のどれも野生で悪用されたことが知られておらず、確認の前に公開されたものはないと報告しています。重要なことに、Microsoftはすでに緩和を実装しているため、ユーザーはこれらの脆弱性から身を守るために行動を起こす必要はありません。

合計4つのクラウドセキュリティの脆弱性がMicrosoftによって確認されています。これらには、CVS-2025-29813が含まれ、Azure Devopsは、CVSS評価が10.0の特権脆弱性の上昇です。 CVE-2025-29972、Azure Storage Resource Provider Spoofingの脆弱性は9.9; CVE-2025-29827、Azure Automationの特権脆弱性の高さも9.9でした。およびCVE-2025-47733、Microsoft Power Apps情報開示脆弱性が9.1の評価。

You Might Also Like
Amazon Stuff Your Kindle Day: 無料の電子書籍を入手する方法
Amazon Stuff Your Kindle Day: 無料の電子書籍を入手する方法
Windowsでリモートデスクトップを有効または無効にするにはどうすればよいですか?
Windowsでリモートデスクトップを有効または無効にするにはどうすればよいですか?
macOS 12について私たちが知っていることすべて:デザイン、互換性のあるMacなど
macOS 12について私たちが知っていることすべて:デザイン、互換性のあるMacなど

最も深刻な脆弱性であるCVE-2025-29813は、Azure DevOpsパイプライントークンハイジャックの問題です。 Microsoftは、パイプラインのジョブトークンを不適切に処理するVisual Studioに起因すると説明しました。 「この脆弱性を活用するために」とMicrosoft氏は、次のように述べています。

Azure Storage Resource Providerのスプーフィング脆弱性であるCVE-2025-29972は、Azure Server側のリクエスト偽造の欠陥です。 Microsoftは、これにより、認定された攻撃者がネットワーク上で「スプーフィング」を実行できるようになり、成功した脅威アクターが合法的なサービスとユーザーになりすましている悪意のあるリクエストを配布できるようにすると述べました。

Azure Automationの特権脆弱性の高さ、CVE-2025-29827は、Azure Automationにおける不適切な承認の問題によるものです。エクスプロイトが成功すると、ハッカーがネットワーク全体で特権を高めることができます。

4番目の脆弱性であるCVE-2025-47733は、Microsoft Powerアプリに影響を及ぼし、情報開示の欠陥です。このサーバー側の要求Forgeryの脆弱性により、攻撃者はネットワーク上の情報を開示することができます。

Microsoftは、これらすべての脆弱性がすでに会社によって完全に緩和されていることを強調しています。 「この脆弱性はすでにMicrosoftによって完全に緩和されています。このサービスのユーザーがとるべきアクションはありません」と、Microsoftはそれぞれのクラウドセキュリティの問題について述べました。

これらの開示は、透明性へのより広範なコミットメントの一部です。 2024年6月27日、Microsoft Security Response Center(MSRC)は、クラウド共通の脆弱性と露出(CVE)に関する透明性の向上に対するコミットメントを発表しました。

以前、Microsoftは、「クラウドサービスプロバイダーは、顧客の行動が必要でない限り、クラウドサービスで見つかった脆弱性に関する情報を開示することを控えていました。」ただし、現在認識されている完全な透明性の価値により、Microsoftは、「顧客がパッチをインストールする必要があるか、自分自身を保護するために他のアクションを実行する必要があるかに関係なく、CVESを批判的なクラウドサービスの脆弱性に発行する予定です」と確認しました。

この透明性イニシアチブは、MicrosoftのSecure Future Initiativeと一致しており、新しいID保護の実装、透明性の向上、より速い脆弱性対応の確保を優先します。 「当社の業界が成熟し、クラウドベースのサービスにますます移行するにつれて、Microsoftは、「発見されて固定されている重要なサイバーセキュリティの脆弱性について透明でなければなりません。」

Googleは、クラウドの脆弱性の透明性の向上にも同様の動きをしています。 2024年11月12日、Googleは、顧客の行動が不要な場合でも、重要なGoogleクラウドの脆弱性についてCVEを発行するCVEプログラムを拡大すると発表しました。 Google Cloudの最高情報セキュリティ責任者であるPhil Venablesは、当時、「透明性と共有行動は、脆弱性のクラス全体を学び、緩和するために、悪い俳優に対抗するための重要な部分です」と述べました。

このストーリーは、もともと2025年5月9日に公開され、2025年5月11日に更新され、MicrosoftとGoogleの両方によるクラウドCVEの透明性の動きに関する詳細が含まれています。

Source: Microsoftは、重要なクラウドの脆弱性を確認しています。アクションは必要ありません

  ウクライナはボランティアハッカーのIT軍を作成します:ウクライナのIT軍