CISAが警告、SharePointの複数の脆弱性が悪用中

セキュリティ研究者らによると、さらなる欠陥が組み合わせて悪用されており、パッチの提供は8月まで行われない見込みです。

Image

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は火曜日、オンプレミス版Microsoft SharePoint Serverに存在する3件の脆弱性が悪用の標的になっていると警告しました。

攻撃者はこれらの欠陥を悪用してインターネット・インフォメーション・サービス(IIS)のマシンキーを窃取しています。デシリアライゼーション(逆直列化)の手法を使って永続的な不正アクセスを確保した後、マルウェアを展開する手口です。

不適切な入力検証の脆弱性であるCVE-2026-32201は、もともと4月に公表されたもので、ネットワーク経由でのなりすましを可能にします。

リモートコード実行の脆弱性であるCVE-2026-45659は、信頼できないデータのデシリアライゼーションに関するものです。深刻度スコアは8.8となっています。

3件目の脆弱性であるCVE-2026-56164は火曜日に公表されたもので、ネットワーク経由での権限昇格を可能にします。

Rapid7の研究者らは火曜日、新たに公表された認証バイパスの脆弱性、すなわちCVE-2026-55040が、もう一つの欠陥と組み合わせることでリモートコード実行につながる可能性があると警告しました。

Rapid7は、パッチはMicrosoftの8月のセキュリティ更新サイクルまで提供されない見込みだと警告しています。

広範囲に及ぶリスク

SharePointは広く利用されている文書管理・コラボレーションプラットフォームであるため、今回の悪用活動は政府機関をはじめ各業界のセキュリティチームから注視されています。

「CISはこれらの脆弱性を追跡しており、概要、影響を受けるシステムの一覧、推奨対応策をまとめたアドバイザリを会員向けに発行しました」と、Center for Internet Securityの脅威インテリジェンス担当シニアディレクター、TJ・セイヤーズ氏はCybersecurity Diveに語りました。「脅威アクターは、ベンダーのパッチノートから推測されたものも含め、公表された脆弱性の悪用を、公開から24時間から72時間以内に開始する傾向が見られます」

CISAは、各SharePoint Webアプリケーションに対してMicrosoftのAntimalware Scan Interface(AMSI)が有効になっていることを確認するよう、セキュリティチームに促しています。MicrosoftはAMSIをSharePointと統合する方法に関するガイダンスを提供しています。

CISAによると、セキュリティチームはインターネット・インフォメーション・サービスのマシンキーをローテーションするだけでなく、マシンキー収集ツールなど侵入の痕跡がないかも確認すべきだとしています。

CISAは、SharePointを直接インターネットに公開しないこと、またSharePoint Central Administrationへの外部アクセスをブロックすることを利用者に求めています。CISAはMicrosoftによるSharePointハードニングガイドへのリンクも提示しています。

翻訳元: https://www.cybersecuritydive.com/news/cisa-multiple-vulnerabilities-sharepoint-exploitation/825306/

ソース: cybersecuritydive.com