Microsoft SharePointのゼロデイ脆弱性がRCE攻撃で悪用、パッチ未提供

Microsoft SharePointに存在する重大なゼロデイ脆弱性（CVE-2025-53770）は、少なくとも7月18日以降、積極的に悪用されており、パッチは未提供のまま、すでに世界中で85台以上のサーバーが侵害されています。

5月、Viettel Cyber Securityの研究者は、Pwn2Own Berlinで実演された「ToolShell」攻撃において、Microsoft SharePointの2つの脆弱性（CVE-2025-49706およびCVE-2025-49704）を連鎖させてリモートコード実行を実現しました。

Microsoftは7月のPatch Tuesdayで両方のToolShell脆弱性にパッチを適用しましたが、現在、CVE-2025-49706の亜種であるCVE-2025-53770が実際に悪用されていると警告しています。

「Microsoftは、オンプレミスのSharePoint Server顧客を標的としたアクティブな攻撃を認識しています」とMicrosoftは警告しています。

「攻撃はCVE-2025-49706の亜種を悪用しています。この脆弱性にはCVE-2025-53770が割り当てられています。」

Microsoftによると、この脆弱性はMicrosoft 365には影響せず、現在セキュリティアップデートを開発中で、できるだけ早くリリースする予定です。

この脆弱性を緩和するために、Microsoftは顧客に対し、SharePointでAMSI統合を有効にし、すべてのSharePointサーバーにDefender AVを導入することを推奨しています。

Microsoft AMSI（Antimalware Scan Interface）は、アプリケーションやサービスが潜在的に悪意のあるコンテンツをインストール済みのウイルス対策ソリューションにリアルタイムでスキャンさせることを可能にするセキュリティ機能です。主にメモリ上のスクリプトやコードを検査するために使用され、難読化された脅威や動的な脅威の検出・ブロックに役立ちます。

Microsoftは、これらの緩和策を有効にすることで、認証されていない攻撃者による脆弱性の悪用を防ぐことができると述べています。

同社は、この機能がSharePoint Server 2016/2019向けの2023年9月のセキュリティアップデートおよびSharePoint Server Subscription EditionのVersion 23H2機能アップデート以降、デフォルトで有効になっていると指摘しています。

AMSIを有効にできない場合、MicrosoftはセキュリティアップデートがリリースされるまでSharePointサーバーをインターネットから切断するよう推奨しています。

SharePointサーバーが侵害されたかどうかを検出するには、管理者はC:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspxが存在するかどうかを確認できます。

また、Microsoftはこのファイルを確認するために使用できるMicrosoft 365 Defenderクエリも共有しています：

eviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc

さらなるIOCや技術情報は以下に掲載しています。

RCE攻撃で悪用

Microsoft SharePointのゼロデイ攻撃は、オランダのサイバーセキュリティ企業Eye Securityによって最初に特定され、同社はBleepingComputerに対し、すでに75社以上が攻撃により侵害されていると伝えました。

Eye Securityは、顧客のEDRエージェントからアップロードされた悪意のある.aspxファイルに関連する不審なプロセスが起動したというアラートを受け、7月18日に最初の攻撃を観測しました。

IISログには、HTTPリファラーが/_layouts/SignOut.aspxの状態で、_layouts/15/ToolPane.aspxへのPOSTリクエストが記録されていました。

調査の結果、脅威アクターはCODE WHITE GmbHがエクスプロイトを再現し、Soroush Daliliが先週ウェブリファラーに関するさらなる技術詳細を共有した直後に、Pwn2Own ToolShell脆弱性を武器化したことが判明しました。

「私たちは『ToolShell』、CVE-2025-49706 + CVE-2025-49704の認証不要のエクスプロイトチェーンを再現しました。@_l0ggが#Pwn2Own Berlin 2025でSharePointを攻撃したものと同じで、本当にたった1つのリクエストだけです！」とCODE WHITE GmbHはXに投稿しています。

悪用の一環として、攻撃者は「spinstall0.aspx」というファイルをアップロードし、Microsoft SharePointサーバーのMachineKey構成（ValidationKeyやDecryptionKeyを含む）を盗み出します。

「現在、ToolShellチェーン（CVE-2025-49706 + CVE-2025-49704）により、攻撃者はValidationKeyをメモリまたは構成ファイルから直接抽出しているようです」とEye Securityは説明しています。

「この暗号情報が漏洩すると、攻撃者は下記の例のようにysoserialというツールを使って完全に有効な署名付き__VIEWSTATEペイロードを作成できます。

「ysoserialを使用することで、攻撃者は独自の有効なSharePointトークンを生成し、RCEを実現できます。」

ViewStateは、SharePointの基盤となるASP.NETが、Webリクエスト間でWebコントロールの状態を保持するために使用します。しかし、十分に保護されていない場合やサーバーのValidationKeyが漏洩した場合、ViewStateは改ざんされ、デシリアライズ時にサーバー上で悪意のあるコードが実行される可能性があります。

Eye SecurityのCTO、Piet Kerkhofs氏はBleepingComputerに対し、インターネット上の侵害されたサーバーをスキャンした結果、75以上の組織が攻撃の影響を受けていることを突き止めたと語りました。

「世界中で85台以上のSharePointサーバーが侵害されていることを特定しましたが、これらを組織単位でクラスタリングすることができました」とKerkhofs氏はBleepingComputerに述べています。

「クラスタリングの結果、29の組織が被害に遭っていることが確認できました。そのうちには複数の多国籍企業や国家機関も含まれています。」

Kerkhofs氏はまた、一部のファイアウォールベンダーがHTTP POSTリクエストに添付されたCVE-2025-49704のペイロードを正常にブロックしていると述べています。しかし、攻撃者がシグネチャを回避できれば、さらに多くのSharePointサーバーが被害を受ける可能性が高いと警告しています。

以下のIOCが、SharePointサーバーが侵害されたかどうかを判断するために共有されています：

• 7月18日にIPアドレス107.191.58[.]76からの悪用
• 7月19日にIPアドレス104.238.159[.]149からの悪用
• IPアドレス96.9.125[.]147からの悪用（Palo Alto Networksによる観測）
• C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspxファイルの作成
• IISログに_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspxへのPOSTリクエストおよびHTTPリファラー_layouts/SignOut.aspxが記録されている

これらのIOCのいずれかがIISログやファイルシステム上で検出された場合、管理者はサーバーが侵害されたとみなし、直ちにオフラインにする必要があります。

脅威アクターが他のデバイスにも拡散していないか、さらなる調査を行う必要があります。

本記事は進行中の事案であり、新たな情報が入り次第、随時更新します。