出典:Westend 61 Gmbh(Alamy Stock Photo経由)
Microsoftは月曜日、Microsoft SharePoint Serverの重大なゼロデイ脆弱性を修正するアップデートをリリースしました。この脆弱性は、米国の連邦および州の機関、ならびに他のグローバル組織に対する継続的な攻撃の中で、すでに攻撃者によって悪用されています。
攻撃チェーンは、CVE-2025-53770(CVSSスコア9.8)として追跡されている重大な脆弱性と、CVE-2025-53771として追跡されているパストラバーサルの脆弱性を悪用するものです。CVE-2025-53770は、「オンプレミスのMicrosoft SharePoint Serverにおける信頼されていないデータのデシリアライズ」に起因すると、National Vulnerability Databaseのリストで説明されています。この脆弱性により、「認証されていない攻撃者がネットワーク経由でコードを実行できる」とされています。
この脆弱性を悪用するには、「攻撃者が悪意のあるシリアライズ済みデータを作成し、サーバーがそれを不適切にデシリアライズすることで、認証なしでリモートコード実行が可能になる」と、Ontinue Advanced Threat Operations(ATO)チームのブログ記事(月曜日公開)で説明されています。「事前のアクセスやユーザーの操作は必要ありません。」
「ToolShell」と名付けられたこのエクスプロイトチェーンは、組織内のオンプレミスで稼働しているMicrosoft SharePoint Serverを完全に制御できるようにします。ただし、この攻撃はMicrosoft 365版のSharePoint Onlineには該当しません。
CVE-2025-53770の世界的な大規模悪用
CVE-2025-53770の広範な悪用報告は、Microsoftが土曜日に公表した時点ではパッチが存在せず、週末にかけて明らかになりました。ワシントン・ポストは日曜日に報道し、攻撃者がすでにこの脆弱性を悪用して「米国の連邦および州の機関、大学、エネルギー企業、アジアの通信会社に侵入した」と、州当局者や民間研究者の話を引用して伝えました。米国サイバーセキュリティ・インフラストラクチャ安全局(CISA)も警鐘を鳴らし、CVE-2025-53770を既知の悪用脆弱性カタログに追加し、組織に対して即時の緩和策を講じるよう勧告しました。
Microsoftはその後、「SharePoint Subscription EditionおよびSharePoint 2019を使用している顧客をCVE-2025-53770およびCVE-2025-53771によるリスクから完全に保護するセキュリティアップデートをリリースした」と、CVE-2025-53770のセキュリティアドバイザリで述べています。これらのアップデートには、Microsoft SharePoint Subscription EditionおよびSharePoint 2019向けのパッチが含まれており、CVE-2025-49704およびCVE-2025-49706に対するより強固な保護も提供します。
「顧客はこれらのアップデートを直ちに適用して保護を確保すべきです」と同社は述べ、SharePoint 2019およびSharePoint 2016のサポートバージョン向けのセキュリティアップデートに取り組んでいること、該当する顧客は定期的に最新情報を確認するよう勧告しています。
攻撃の背後に誰がいるのかについては明確な情報はありませんが、脅威インテリジェンスによると、中国のSilk TyphoonやStorm-0506(別名Black Basta)などのグループが関与している可能性があると、Ontinue ATOは投稿で述べています。
SharePointサーバーのリスク
この脆弱性を巡る問題は、ドイツの攻撃的セキュリティ組織Code White GmbhがソーシャルメディアプラットフォームXに投稿した、認証不要のRCEエクスプロイトチェーンのデモに端を発しています。これは、5月にベルリンで開催されたPwn2Ownカンファレンスで明らかになった2つの脆弱性を組み合わせたものでした。2つの脆弱性とは、CVE-2025-49704として追跡されるコードインジェクション脆弱性と、CVE-2025-49706として追跡される認証の脆弱性で、いずれもViettel Cyber Securityの研究者Dinh Ho Anh Khoaによって発見されました。
CISAおよびMicrosoftによると、CVE-2025-53770はCVE-2025-49706のバリアントです。
最初の攻撃の兆候は7月18日(金)夜に現れ、Eye Securityの研究者が世界中の8,000台以上のSharePointサーバーをスキャンしたところ、「その夜と翌日に2回の攻撃波で多数のシステムが実際に侵害されている」ことを発見したと、土曜日に公開されたブログ記事で述べています。
観測された攻撃は、「HTTP経由でリモートコマンド実行を可能にするカスタムパス内の難読化されたコードを含む、クラシックなWebシェル」を利用していたと、Eye Securityは投稿で述べています。
当初、研究者たちはActive Directory Federation Services(ADFS)へのブルートフォースまたはクレデンシャルスタッフィング攻撃、続いて認証済みアップロードまたは有効な認証情報を使ったリモートコード実行の試みだと考えていました。「影響を受けたSharePointサーバーはインターネットに公開され、ハイブリッドADFSを使ってAzure ADに接続されていました。この構成が誤っていたり古かったりすると、非常に危険な組み合わせとなります」と彼らは書いています。
ToolShell攻撃の特定
最終的に研究者たちは調査を進め、Code WhiteによるToolShellのX投稿を発見しました。当時は公開コードや明確なエクスプロイト詳細のない概念実証(POC)と見なされていました。彼らはすぐに、これがまさに観測していた攻撃ベクトルであり、これは以前のSharePointバグCVE-2021-28474に対する攻撃ベクトルと類似していることに気付きました。
以前の攻撃ベクトルでは、「攻撃者がSharePointページのサーバー側コントロール解析ロジックを悪用し、ページライフサイクルに予期しないオブジェクトを注入していた」とEye Securityは述べています。
これは、SharePointがマシンの構成に保存された署名キー(ValidationKey)を使ってASP.NET ViewStateオブジェクトを読み込み・実行していたため可能だったと、研究者たちは説明しています。
「シリアライズされたペイロードを含む悪意のあるページリクエストを作成し、正しく署名することで、攻撃者はSharePointに任意のオブジェクトをデシリアライズさせ、埋め込まれたコマンドを実行させることができました」と投稿は述べています。「ただし、このエクスプロイトは有効な署名の生成が必要であり、それにはサーバーの秘密のValidationKeyへのアクセスが必要でした。」
ToolShellチェーンでは、攻撃者がValidationKeyをメモリや構成から直接抽出しているようだと研究者たちは説明しています。「この暗号化情報が漏洩すると、攻撃者はysoserialというツールを使って完全に有効な署名付き__VIEWSTATEペイロードを作成できるようになり、これにより攻撃者は自身で有効なSharePointトークンを生成してRCEを実行できる」と投稿で述べています。
「これらのペイロードは任意の悪意のあるコマンドを埋め込むことができ、サーバーは信頼された入力として受け入れるため、認証情報なしでRCEチェーンを完了できます」とEye Securityは述べています。「これは2021年に悪用された設計上の弱点を反映していますが、今回は自動シェルドロップ、完全な永続性、認証不要という現代的なゼロデイチェーンとしてパッケージ化されています。」
その他の緩和策
最新のゼロデイ攻撃は、Microsoftにとってさらなる打撃となりました。同社は、厳しい監視に直面しており、昨年は国家支援型攻撃者Midnight BlizzardによってMicrosoftの企業メールアカウントが侵害され、連邦機関から認証情報が盗まれる事態となり、CISAによる緊急指令が発動されました。その後、長らく待たれていた連邦サイバー安全審査委員会の報告書でも、同社がMicrosoft Exchange Online環境への別のハッキングを防げなかったことが判明し、ベンダーへの新たな批判の波が起こりました。
セキュリティ研究者たちは、SharePointへのさらなる攻撃の可能性を過小評価すべきでないとし、すべての脆弱なシステムに対して直ちに緩和策を適用するよう組織に助言しています。SharePointは大企業から中小企業まで広くビジネス文書共有に利用されており、攻撃者にとって人気の攻撃ベクトルとなっています。なぜなら、インスタンスにアクセスすることで機密情報を入手できるからです。実際、ToolShellは、昨秋にPOCが公開された後に広範に悪用された別のデシリアライズ脆弱性、CVE-2024-38094を彷彿とさせます。
Microsoftは、SharePoint 2016向けのパッチはまだ開発中であると述べています。CVE-2025-53770およびCVE-2025-53771の修正を直ちに適用できない、またはSharePoint 2016を運用している組織に対しては、他の迅速な緩和策を推奨しています。
これらの対策には、Defender for Endpointを導入して事後の悪用活動を検知すること、オンプレミスのSharePoint ServerでAMSI統合を確実に有効化すること、すべてのSharePointホストでMicrosoft Defender Antivirusを有効にすることが含まれます。さらに、AMSIを有効にできない場合は、システムを完全にパッチ適用できるまで、脆弱なシステムをインターネットから完全に切り離すべきだとMicrosoftは述べています。