Elastic Defendに高リスクの脆弱性(CVE-2025-37735)

セキュリティニュース

投稿日時: 更新日時:

Elastic Defendに高リスクの脆弱性(CVE-2025-37735)

Elasticは、エンドポイント保護機能「Elastic Defend」のWindows環境に影響する脆弱性(CVE-2025-37735)を公表し、修正版として8.19.6/9.1.6/9.2.0をリリースしました。条件次第でSYSTEM権限のサービスが任意ファイルを削除してしまう可能性があり、ローカル権限昇格(LPE)につながるおそれがあります。早急なアップデートが推奨されています。

影響範囲

  • 影響バージョン:8.19.5以前、および 9.0.0〜9.1.5

  • 影響製品:
    Windows環境のElastic Defend(Elastic Securityスイートのエンドポイント保護コンポーネント)

修正済みバージョン

  • 8.19.6

  • 9.1.6

  • 9.2.0

これらのリリースで当該問題は修正されています。

概要

Elasticのセキュリティアドバイザリ(ESA-2025-23)によりますと、「権限の保持が不適切(Improper preservation of permissions)」な実装により、Windowsホスト上のElastic Defendサービス(SYSTEM権限で動作)が、攻撃者により任意のファイルを削除させられる可能性があります。状況によっては、これが足掛かりとなってローカル権限昇格が成立し得ます。CVSS v3.1スコアは7.0(High)と評価されています。

代替策

Elasticは恒久対策としてのアップグレードを強く推奨していますが、やむを得ず当面アップデートできない場合の緩和策として、Windows 11 24H2以降への移行を検討するよう案内しています。OS側の変更により悪用の難度が上がるため、一定の抑止効果が見込めます(ただし完全な解決にはアップデートが必要です)。

リスクの見立て

本件はローカル攻撃者が前提で、ユーザー操作は不要(UI:N)低い前提権限(PR:L)でも成立するケースがあると評価されています。既に端末に侵入済みの攻撃者が永続化の足場作り防御無効化を狙う場面で特に悪用されやすく、EDR/EPPの自己防衛に依存する環境では影響が大きくなり得ます。