コンテンツにスキップするには Enter キーを押してください

重大な未修正のSharePointゼロデイが積極的に悪用され、世界75以上の組織が侵害される

投稿日 2025年7月20日

2025年7月20日Ravie Lakshmananゼロデイ / 脆弱性

重大なMicrosoft SharePointの脆弱性

Microsoft SharePoint Serverの重大なセキュリティ脆弱性が、「大規模かつ積極的」な悪用キャンペーンの一環として武器化されています。

このゼロデイ脆弱性はCVE-2025-53770(CVSSスコア:9.8)として追跡されており、CVE-2025-49706(CVSSスコア:6.3)のバリアントと説明されています。CVE-2025-49706はMicrosoft SharePoint Serverのなりすましバグであり、テクノロジー大手によって2025年7月のPatch Tuesdayアップデートの一環として対処されました。

「オンプレミスのMicrosoft SharePoint Serverにおける信頼されていないデータのデシリアライズにより、認証されていない攻撃者がネットワーク経由でコードを実行できる」とMicrosoftは2025年7月19日に公開した勧告で述べています

Windowsの開発元はさらに、問題を解決するための包括的なアップデートを準備し、完全にテストしていると述べました。また、この脆弱性の発見と報告にはViettel Cyber SecurityがTrend MicroのZero Day Initiative(ZDI)を通じて貢献したとしています。

別途土曜日に発表された警告で、RedmondはオンプレミスのSharePoint Server顧客を標的とした積極的な攻撃が存在することを認識していると述べましたが、Microsoft 365のSharePoint Onlineには影響がないことを強調しました。

公式パッチがない現状で、Microsoftは顧客に対し、SharePointでAntimalware Scan Interface(AMSI)の統合を構成し、すべてのSharePointサーバーにDefender AVを導入するよう強く求めています。

AMSIの統合は、SharePoint Server 2016/2019向けの2023年9月のセキュリティアップデートおよびSharePoint Server Subscription Editionのバージョン23H2機能アップデートでデフォルトで有効になっている点は注目に値します。

AMSIを有効にできない場合は、セキュリティアップデートが提供されるまでSharePoint Serverをインターネットから切断することが推奨されています。さらなる保護のため、ユーザーにはDefender for Endpointを導入し、エクスプロイト後の活動を検出・ブロックすることが勧められています。

この情報公開は、Eye SecurityおよびPalo Alto Networks Unit 42が、CVE-2025-49706およびCVE-2025-49704(CVSSスコア:8.8、SharePointのコードインジェクション脆弱性)を連鎖させて、脆弱なインスタンス上で任意のコマンド実行を可能にする攻撃について警告したことを受けてのものです。このエクスプロイトチェーンはToolShellとコードネームが付けられています。

しかし、CVE-2025-53770がCVE-2025-49706の「バリアント」であることから、これらの攻撃が関連していると考えられています。

悪意のある活動は本質的に、PowerShellを介してASPXペイロードを配信し、その後SharePointサーバーのMachineKey構成(ValidationKeyやDecryptionKeyを含む)を盗み、持続的なアクセスを維持することに利用されます。

オランダのサイバーセキュリティ企業は、これらのキーが有効な__VIEWSTATEペイロードを生成する上で極めて重要であり、これらにアクセスできれば、認証済みのSharePointリクエストがすべてリモートコード実行の機会に変わると述べています。

「私たちは依然として大規模なエクスプロイトの波を特定しています」とEye SecurityのCTO、Piet Kerkhofs氏はThe Hacker Newsへの声明で述べています。「攻撃者がこのリモートコード実行を使って横展開を高速に行っているため、甚大な影響が出るでしょう。」

「私たちはSharePointサーバー上で悪意のあるWebシェルを特定したことで、侵害された約75の組織に通知しました。この中には世界中の大企業や大規模な政府機関も含まれています。」

MicrosoftはCVE-2025-49706およびCVE-2025-49704の勧告を、積極的な悪用を反映するようまだ更新していない点は注目に値します。私たちはさらなる説明を求めて同社に連絡しており、返答があれば本記事を更新します。

(本記事は現在進行中です。詳細は随時ご確認ください。)

翻訳元: https://thehackernews.com/2025/07/critical-microsoft-sharepoint-flaw.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です