Microsoftは、「ToolShell」攻撃で世界中のサービスが侵害された、CVE-2025-53770およびCVE-2025-53771として追跡されている2つのゼロデイ脆弱性に対するSharePointの緊急セキュリティアップデートを公開しました。
5月、ベルリンPwn2Ownハッキングコンテストにて、研究者らは「ToolShell」と呼ばれるゼロデイ脆弱性チェーンを悪用し、Microsoft SharePointでリモートコード実行を達成しました。
これらの脆弱性は7月のPatch Tuesdayアップデートの一環として修正されましたが、脅威アクターは以前の脆弱性に対するMicrosoftのパッチを回避する2つのゼロデイ脆弱性を発見することができました。
これらの脆弱性を利用し、脅威アクターは世界中のSharePointサーバーに対してToolShell攻撃を実施しており、これまでに54以上の組織に影響を及ぼしています。
緊急アップデートが公開
Microsoftは現在、Microsoft SharePoint Subscription EditionおよびSharePoint 2019向けに、CVE-2025-53770およびCVE-2025-53771の両方の脆弱性を修正する緊急の臨時セキュリティアップデートを公開しました。
Microsoftは現在もSharePoint 2016向けのパッチを作成中で、まだ利用可能ではありません。
「はい、CVE-2025-53770のアップデートにはCVE-2025-49704のアップデートよりも強化された保護が含まれています。CVE-2025-53771のアップデートにはCVE-2025-49706のアップデートよりも強化された保護が含まれています」とMicrosoftのアドバイザリには記載されています。
Microsoft SharePoint管理者は、バージョンに応じて以下のセキュリティアップデートを直ちにインストールする必要があります:
- Microsoft SharePoint Server 2019用のKB5002754アップデート。
- Microsoft SharePoint Subscription Edition用のKB5002768アップデート。
- Microsoft SharePoint Enterprise Server 2016用のアップデートはまだ公開されていません。
アップデートをインストールした後、管理者は以下の手順でSharePointのマシンキーをローテーションする必要があります:
SharePoint管理者は、以下の2つの方法のいずれかでマシンキーをローテーションできます:
PowerShellによる手動操作
PowerShellを使ってマシンキーを更新するには、Update-SPMachineKeyコマンドレットを使用します。
Central Adminによる手動操作
以下の手順でMachine Key Rotationのタイマージョブを実行します:
- Central Administrationサイトにアクセスします。
- Monitoring → Review job definitionに移動します。
- Machine Key Rotation Jobを検索し、Run Nowを選択します。
- ローテーションが完了したら、iisreset.exeを使ってすべてのSharePointサーバーでIISを再起動します。
また、ログやファイルシステムを分析し、不正なファイルや悪用の試みがないか確認することも推奨されています。
これには以下が含まれます:
- C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx ファイルの作成。
- IISログに、_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspxへのPOSTリクエストと、HTTPリファラーが_layouts/SignOut.aspxとなっているものが記録されている。
Microsoftは、サーバー上でspinstall0.aspxファイルが作成されたかどうかを確認するための、以下のMicrosoft 365 Defenderクエリを共有しています。
eviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp descもしファイルが存在する場合は、侵害されたサーバーおよびネットワーク全体で、脅威アクターが他のデバイスに拡散していないか徹底的な調査を行う必要があります。
CISOが実際に使うボードレポートデッキ
CISOは、クラウドセキュリティがビジネス価値をどのように推進するかについて、明確で戦略的な視点を持つことが取締役会の賛同を得る第一歩であることを知っています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティアップデートを意味のある会話や迅速な意思決定へと変えましょう。