マイクロソフトは「悪用の可能性は低い」としていたが、CISAはSharePointのRCE脆弱性をKEVリストに追加

セキュリティ

攻撃者は有効なSharePointアカウントさえあれば、脆弱なオンプレミスサーバー上でコードを実行できる

マイクロソフトは、パッチ適用済みの新たなSharePointの脆弱性について「攻撃者がすぐに悪用に走る可能性は低い」と予測していましたが、この見立てはあまり当たらなかったようです。

CISAは、オンプレミス版Microsoft SharePoint Serverのリモートコード実行(RCE)脆弱性であるCVE-2026-45659について、サイバー犯罪者が実際にこの脆弱性を悪用していることを確認したとして、既知の悪用された脆弱性(KEV)カタログに追加しました

この脆弱性は安全でないデシリアライゼーションの問題に起因するもので、SharePoint Server Subscription Edition、SharePoint Server 2019、SharePoint Enterprise Server 2016に影響します。これらはいずれも5月にマイクロソフトからパッチが提供されていました。

SharePointの悪名高い脆弱性の中には認証不要のものもありますが、今回のものは認証が必要です。とはいえ、攻撃者が必要とする条件は驚くほど少なくて済みます。マイクロソフトによると、有効な認証情報を持ち、かつ「サイトメンバー」権限さえあれば、誰でも脆弱なサーバー上でリモートから任意のコードを実行できるとのことです。

マイクロソフトはアドバイザリの中で次のように説明しています。「認証されたどのような攻撃者でもこの脆弱性を引き起こすことができます。管理者権限やその他の昇格した権限は必要ありません。ネットワークベースの攻撃では、最低限『サイトメンバー』権限(PR)を持つ認証済み攻撃者が、SharePoint Server上でリモートからコードを実行できる可能性があります」

さらにマイクロソフトは、この攻撃はネットワーク経由でリモートから、しかも低い攻撃複雑度で仕掛けることができると指摘しており、攻撃者がいったん足がかりを得れば悪用は容易だとしています。

CISAは誰がこの脆弱性を悪用しているのか、また攻撃がどの程度広がっているのかについては明らかにしていませんが、その注意喚起の内容は解釈の余地をほとんど残していません。

同機関は「この種の脆弱性は悪意あるサイバー攻撃者にとって頻繁に使われる攻撃手段であり、連邦政府機関にとって重大なリスクをもたらす」と警告しています。そのうえで、連邦文民機関に対し、拘束的運用指令(Binding Operational Directive)26-04に従い、遅くとも7月4日までにマイクロソフトの修正を適用するか、緩和策が利用できない場合は該当システムの使用を中止するよう指示しました。

この脆弱性のCVSSスコアは8.8ですが、それ以上に興味深いのはマイクロソフトによる悪用可能性の評価かもしれません。パッチが公開された当初、同社は実際の悪用について「可能性は低い(Less Likely)」と評価していました。しかしこれはあくまで予測であって保証ではありません。パッチが攻撃者にリバースエンジニアリングの手がかりを与えてしまうと、そうした予測が楽観的すぎたと判明するのは、これまでも珍しいことではありませんでした。

パッチ未適用のSharePointサーバーをいまだにインターネットに公開している組織にとって、今回のCISAによるKEV登録は改めて教訓を突きつけるものです。パッチ適用と悪用のどちらが先に動くか、そのレースはたいてい先に動いた側が制すると。®

翻訳元: https://www.theregister.com/security/2026/07/02/microsoft-said-exploitation-was-less-likely-but-cisa-just-added-sharepoint-rce-to-kev-list/5265886

ソース: theregister.com