CISAが積極的に悪用されているSharePointの脆弱性へのパッチ適用を管理者に警告

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は火曜日、攻撃者がインターネットに公開されたオンプレミスのSharePoint Serverインスタンスを侵害するために、3件の脆弱性を積極的に悪用していると警告しました。

これらのセキュリティ上の欠陥(CVE-2026-32201CVE-2026-45659CVE-2026-56164として追跡)は、最新のオンプレミス版であり「継続的更新」モデルを採用するSharePoint Server Subscription Editionを含め、サポートされているすべての自己ホスト型SharePoint Serverバージョンに影響します。

火曜日に公開された勧告で詳述されているように、攻撃者はこれらの脆弱性を悪用して認証を回避し、リモートコード実行を達成した上で、Internet Information Servicesのマシンキーの窃取やマルウェア展開のための永続化確保といった侵害後の活動を行っています。

米サイバーセキュリティ当局はさらに、SharePoint Serverの脆弱性2件(CVE-2026-55040およびCVE-2026-58644)についても注意を呼びかけました。Microsoftはこれらを火曜日にパッチ適用し、攻撃者にとって魅力的な標的になり得るとしていますが、現時点では実際の悪用は確認されていません。

インターネットセキュリティ監視団体Shadowserverは現在、インターネットに公開されたMicrosoft SharePointサーバーを約1万台追跡しており、そのうち800台以上CVE-2026-32201およびCVE-2026-45659の脆弱性に対して未パッチの状態にあるとしています。

ただし、CVE-2026-56164による攻撃に対して脆弱なサーバーがどれだけ存在するか、あるいはそのうちどれだけがハニーポットであるかについての詳細は明らかになっていません。

Image

CISAはセキュリティチームに対し、影響を受けるサーバーで悪用の兆候がないか綿密に監視するよう求めるとともに、Microsoftの最新パッチの適用、インストールが正常に完了したことの確認、パッチ適用サイクルの短縮、SharePointウェブアプリケーション向けのWindows Antimalware Scan Interface(AMSI)連携の有効化、Microsoft Defender Antivirus(MDAV)の検知機能を用いた侵害の検出・修復を推奨しています。

その他の強化策としては、IISマシンキーをローテーションする前に侵入の痕跡を洗い出して修復すること、異常な活動を監視するための専用ロギングを整備すること、必要がない限りSharePointサーバーをインターネットに直接公開しないこと、そしてMicrosoftの公式SharePoint Serverセキュリティ強化ガイダンスを確認することが挙げられます。

また、SharePoint Central Administrationへの外部アクセスを遮断し、ファームおよびデータベース間の通信を必要なシステムのみに制限することも推奨されます。公開が避けられない場合、CISAはサーバーをレイヤー7リバースプロキシまたは同等のアプリケーション層セキュリティ制御の背後に配置することも推奨しています。

​CISAは、積極的に悪用されているこれら3件の脆弱性を、4月14日(CVE-2026-32201)、7月1日(CVE-2026-45659)、7月14日(CVE-2026-56164)にKnown Exploited Vulnerabilities Catalog(既知の悪用脆弱性カタログ)へそれぞれ追加しました。

連邦機関は、拘束力のある運用指令(BOD)26-04に基づき、CVE-2026-56164の影響を受けるSharePointサーバーを7月17日までに保護するか、緩和策を適用できない場合はサービスを停止する必要があります。

2021年11月以降、CISAはこれまでに合計Microsoft SharePointの脆弱性11件を攻撃で悪用されたものとして注意喚起しており、そのうち7件はランサムウェア攻撃でも悪用されています。

攻撃者に先んじて、すべての防御層をテストする

セキュリティチームが検知できているのは、成功した攻撃のわずか54%にとどまり、アラートが発せられるのはそのうち14%に過ぎません。残りは検知されないまま環境内を移動しています。

Picusのホワイトペーパーでは、breach and attack simulation(侵害・攻撃シミュレーション)がSIEMやEDRのルールをどのようにテストし、検知をすり抜ける脅威を防ぐかを解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/cisa-warns-admins-to-patch-actively-exploited-sharepoint-flaws/

ソース: bleepingcomputer.com