CISAがSharePointの堅牢化を強く要請、悪用防止を呼びかけ

重大なSharePoint脆弱性が活発に悪用される事態

米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)が緊急警告を発表しました。この警告は、オンプレミス版Microsoft SharePointサーバーを標的とした活発な悪用行為に関するものです。現在、悪意ある攻撃者は3つの異なるセキュリティ脆弱性を利用しています。具体的には、これらの重大な欠陥により、攻撃者は認証チェックを完全に回避できてしまいます。さらに、企業ネットワークに侵入し、悪意あるペイロードを展開することも可能です。

その結果、サポート対象のオンプレミス版SharePoint Serverはすべて、極めて高いリスクにさらされています。最新のSubscription Editionはもちろん、旧世代の2019版および2016版サーバーもこの脅威の影響を受けます。具体的には、進行中のサイバー攻撃はCVE-2026-32201CVE-2026-45659CVE-2026-56164を悪用しています。侵入者はアクセス権を獲得すると、最終的にリモートで任意のコードを実行できます。さらに、保護されたInternet Information Services(IIS)のキーを窃取することも可能です。これにより、侵害したホスト上にマルウェアを展開できてしまいます。

世界的な露出状況

Shadowserver Foundationの最新のテレメトリデータによると、およそ10,000台のSharePointサーバーがインターネット上に露出しています。実際、このうち800台以上には必須のパッチが適用されていません。ただし、重大な脆弱性であるCVE-2026-56164の悪用を受けやすいシステムの正確な台数については、まだ確認が取れていません。さらに、これらの統計には脅威アクターの動向を監視するために設置されたおとりのハニーポットが含まれている可能性もあります。

重要な修復および堅牢化のガイドライン

Webアプリケーションおよびiisキーの堅牢化

したがって、システム管理者は直ちにAntimalware Scan Interface(AMSI)を有効にする必要があります。具体的には、可能な場合はリクエストボディの分析設定をFullモードにすることが求められます。幸いなことに、AMSIとWindows Defenderはこれらのサイバー攻撃のブロックに成功しています。ただし、防御担当者は暗号鍵をローテーションする前に、侵入の痕跡をすべて完全に排除しておく必要があります。そうしなければ、稼働中の窃取ツールによって新しい秘密鍵も容易に奪われてしまいます。

ネットワーク分離のベストプラクティス

また、Microsoftはインフラの役割に応じてSharePointサーバーを分離することを推奨しています。具体的には、管理者は必要最小限のサービスとポートのみを外部に公開すべきです。さらに、Central Administrationへの外部からのアクセスは完全に制限しなければなりません。包括的なセキュリティアーキテクチャについては、Microsoftが公式のSharePointセキュリティ堅牢化ガイドラインで詳しく解説しています。

理想を言えば、組織はこれらのデータベースサーバーをインターネットに直接公開すべきではありません。外部アクセスがどうしても必要な場合は、リバースプロキシの背後に配置することが不可欠です。具体的には、Web.configファイル内で詳細な技術情報の出力を無効にする必要があります。さらに、利用を許可するコンポーネントを制限し、厳格なアップロード上限を設けるべきです。最後に、技術担当者はSharePointのシステムサービスについて、その目的を確認しないまま無効化することは絶対に避けなければなりません。組織は、迫り来る攻撃を軽減するためにCISAがSharePointの堅牢化を強く要請しているこのアラートを直ちに確認する必要があります。

翻訳元: https://meterpreter.org/sharepoint-security-hardening/

ソース: meterpreter.org