Microsoft SharePointで新たに公開された脆弱性により、認証済みの攻撃者がネットワーク越しに任意のコードをリモートで実行できるようになり、ドキュメント管理や社内コラボレーションにオンプレミスのSharePoint展開を利用する企業に深刻なリスクをもたらしています。
MicrosoftのSecurity Response Center(MSRC)は、2026年5月21日にCVE-2026-45659に関するアドバイザリを公開しました。これはMicrosoftのソフトウェアエコシステム全体で130件以上の脆弱性に対処した2026年5月のPatch Tuesdayリリースの一環です。
この脆弱性の根本原因はCWE-502:信頼されないデータのデシリアライゼーションであり、攻撃者が制御するシリアライズされたオブジェクトが十分な検証なしにサーバーで処理され、意図しないコード実行パスを引き起こすという、よく知られた脆弱性クラスです。
この脆弱性のCVSS 3.1基本スコアは8.8(テンポラル:7.7)であり、Microsoftによって「重要」の深刻度と評価されています。
攻撃ベクターはネットワーク(AV:N)、複雑さは低(AC:L)、ユーザーインタラクションは不要であり、攻撃者は一定のペイロードを使用してインターネットからこの脆弱性を確実かつ繰り返し悪用できるとMicrosoftは述べています。
CVE-2026-45659は、2026年を通じて公開された複数のSharePoint RCE脆弱性で観察されたものと同じ危険なデシリアライゼーション悪用パターンに従っています。
SharePointはシリアライズされたデータを受け入れ、許可されるオブジェクト型への制限を強制することなくアプリケーションオブジェクトに再構築するため、攻撃者はデシリアライゼーションプロセスを乗っ取る悪意のあるペイロードを作成することができます。
悪用のフローは通常、低権限の認証情報で認証し、脆弱なエンドポイントを特定して、.NETデシリアライゼーションガジェットチェーンのペイロードを作成し、最終的にSharePointアプリケーションサービスアカウントとしてのコード実行を達成するという手順をたどります。
重要なのは、この脆弱性を引き起こすのにサイトメンバーレベルの権限(PR:L)のみで十分であり、管理者権限や昇格された権限は必要ないという点です。機密性、完全性、可用性はすべて「高」と評価されており、攻撃が成功するとサーバーの完全な侵害につながる可能性があります。
今年初め、当初8.8のスコアが付けられていたCVE-2026-20963は、Microsoftが未認証の悪用を確認した後、CVSSスコアが9.8のクリティカルに再分類され、2026年3月18日にCISAの既知の悪用された脆弱性(KEV)カタログに追加されました。
Microsoftは2026年5月21日に影響を受けるすべての3つのプラットフォーム向けのパッチをリリースしました。管理者はこれらのアップデートを直ちに適用する必要があります。
Microsoftは、SharePoint Server 2016およびSharePoint Enterprise Server 2016の両方のユーザーは同じKBアップデート(KB5002868)を適用する必要があると確認しています。公開時点では、公開されたエクスプロイトコードは存在せず、実際の悪用は確認されていません。
セキュリティチームは、KB5002863、KB5002870、KB5002868を使用して、影響を受けるすべてのSharePointバージョンにMicrosoftパッチを直ちに適用する必要があります。
管理者はまた、ユーザー権限を監査・制限し、最小権限の原則に従って認可されたアカウントのみにサイトメンバーアクセスを厳密に絞り込む必要があります。
SharePointエンドポイントを標的とした不審なシリアライズデータを検査・ブロックするWAFルールの導入が強く推奨されており、横方向への移動の可能性を制限するためにSharePointサーバーを重要なインフラから分離することも求められています。
すべてのノードでパッチが完全に確認されるまで、低権限アカウントからの異常な認証済みリクエストを検出するためのSharePointログの継続的な監視を積極的な防御手段として維持する必要があります。
翻訳元: https://cyberpress.org/microsoft-sharepoint-flaw/
