セイテクエンジニアのブログかつて山市良と呼ばれたおじさんのブログ ITニュース.　WSUSに最大深刻度“緊急”の脆弱性、定例外のセキュリティ更新リリース

ITニュース.　WSUSに最大深刻度“緊急”の脆弱性、定例外のセキュリティ更新リリース

2025年10月28日配信
2025年10月28日更新
執筆者：山内和朗

　Microsoftは2025年10月23日（米国時間）、現在サポートされているWindows Server Update Services（WSUS）のすべてのバージョンに影響する、最大深刻度“緊急”のリモートコード実行の脆弱性を公表し、定例外のセキュリティ更新プログラムをリリースしました。

Windows Server Update Service (WSUS) のリモートでコードが実行される脆弱性｜MSRC（Microsoft）

WSUSサーバーは、すぐにWindows Updateを！

　今回明らかにされたWSUSの問題は、WSUSのReportingWebServiceに存在するリモートコード実行の脆弱性です。この脆弱性は悪用される可能性が高い、緊急度の極めて高い（CVSS v3.0スコア 0.0～10.0で 9.8/8.8）ものです。既にこの脆弱性を突いた攻撃が確認されているようなので、WSUSを運用している場合は、緊急に対策する必要があります。この脆弱性を解決する修正を含む定例外のセキュリティ更新プログラム（2025-10 OoB）がWindows Serverの各バージョン向けにリリースされています。

Windows Server 2025 （KB5070881、OSビルド26100.6905）^*1 または/および（KB5070893、OSビルド26100.6905）^*2
Windows Server 2022 （KB5070884、OSビルド20348.4297）または/および（KB5070892、OSビルド、20348.4297）^*2
Windows Server 2019 （KB5070883、OSビルド17763.7922）
Windows Server 2016 （KB5070882、OSビルド14393.8524）
Windows Server 2012 R2（KB5070886、ESU）^*3
Windows Server 2012 （KB5070887、ESU）^*3
^{*1　ホットパッチが有効なWindows Server 2025 Datacenter/Standardにおいて（Azure Arc対応サーバー）、Windows UpdateでKB5070881とKB5070893が検出され、KB5070893が0x80092004エラーで失敗するという現象を確認しました。再起動後、Windows Updateを再試行すると、KB5070893は完了状態となりましたが履歴には残りませんでした。なお、KB5070881はホットパッチではなく再起動が必要な更新プログラムであることに注意してください。}
^{*2　Azure Arcに接続されたWindows Server（Azure Arc対応サーバー）向けに提供されているようです。}
^{*3　拡張セキュリティ更新プログラム（ESU）のセキュリティ更新プログラムであるため、有料のESU契約または無料（Azure VM）でなければ利用できません。}

　この定例外のセキュリティ更新プログラムは重要な更新プログラムとしてWindows Updateを通じて提供されます。また、WSUSにも同期されます。Windows Serverで自動更新を有効にしている場合（既定はダウンロードのみ）、更新プログラムは自動的にインストールされます。WSUSを運用している場合は、WSUSサーバーにできるだけ早くインストールすることをお勧めします（画面1）。

画面1　WSUSサーバーには、できるだけ早く2025-10 OoBのセキュリティ更新をインストールすること

　個別のセキュリティパッチではなく、累積更新プログラムであるため、更新プログラムのインストールには再起動が必要です。2025年10月の定例のセキュリティ更新プログラム（2025-10 B）をまだインストールしていない場合は、今回の定例外の2025-10 OoBをインストールしてください。

　WSUSの役割がインストールされていないWindows Serverは、この脆弱性の影響は受けません。Windows Updateで更新プログラムのチェックを行うと、インストール対象として提示されますが、自動更新を有効にしておらず、WSUSの役割がインストールされていない場合はインストールする必要はありません（画面2）。

画面2　WSUSの脆弱性を修正する2025-10 OoB（Windows Server 2025向けはKB5070881）は、WSUSの役割がインストールされていないならインストール不要

すぐに更新できない場合は、回避策としてWSUSを動作不能に

　すぐにセキュリティ更新プログラムをインストールできない場合は、今回のセキュリティ更新プログラム（2025-10 OoB）または来月のセキュリティ更新プログラム（2025-11 B）をインストールできるようになるまで回避策を講じてください。

　回避策は、WSUSの役割を削除する、または境界のファイアウォールではなくWSUSサーバーのローカルのファイアウォール（Windowsファイアウォールなど）でTCPポート8530および8531への受信トラフィックをブロックすることです（画面3）。これにより脆弱性から保護することができますが、どちらの方法も、WSUSクライアントはWSUSから更新プログラムを受け取れなくなることに注意してください。

画面3　TCPポート8530および8531への受信トラフィックをブロックすることで、脆弱性を緩和できる。ただし、WSUSクライアントは更新を受け取れなくなる

　ESUを利用できないWindows Server 2012/2012 R2でWSUSを運用しているという場合は、運用を停止し、後継バージョンのWindows ServerのWSUSに移行することを強くお勧めします。

Windows Server 2025は10月2度目のOoB

　Windows Server 2025については、10月2度目の定例外の更新プログラムのリリースとなりました（今回の2025-10-23 OoB KB5070881 《26100.6905》には前回の2025-10-20 OoB KB5070773 《26100.6901》の以前内容が含まれます）。

ITニュース.　10月定例更新で発生したWinRE問題を解決する定例外更新をスキップしてもよい理由 [2025/10/21]

　前回のWinRE問題の回避策がある（インストールメディアやシステム修復ディスク、回復ドライブなどから正常なWinREを起動できる）場合やWSUSを有効化していない場合は、10月の定例更新（2025-10-14 B《OSビルド26100.6899》）までインストールされていれば、10月のOoBのインストールは必須ではありません。まだ、10月の定例更新をインストールしていない場合は、最新の累積更新プログラムである2025-10-23 OoBをインストールすればよいということになります。

　Windows Serverで自動更新を有効にしていると、OoBが提供されるたびに、それが自動インストールされ、再起動が要求されることになります。そのため、Windows Serverでは自動更新は無効（ダウンロードのみ、または手動）にすることをお勧めします。