Microsoftは日曜日、SharePointで積極的に悪用されているセキュリティ脆弱性に対するセキュリティパッチを公開し、さらに「より強固な保護」で対応したとする別の脆弱性の詳細も公開しました。
このテクノロジー大手は、「7月のセキュリティアップデートで一部対応された脆弱性を悪用したオンプレミスSharePoint Serverの顧客を標的とするアクティブな攻撃を認識している」と認めています。
悪用されている脆弱性は、CVE-2025-53770(CVSSスコア:9.8)として追跡されており、オンプレミス版Microsoft SharePoint Serverにおいて信頼されていないデータのデシリアライズに起因するリモートコード実行のケースです。
新たに公開された問題は、SharePointのなりすましの脆弱性(CVE-2025-53771、CVSSスコア:6.3)です。匿名の研究者がこのバグの発見と報告に貢献しています。
「Microsoft Office SharePointにおけるパス名を制限されたディレクトリに適切に制限しない(パストラバーサル)の問題により、認証済みの攻撃者がネットワーク越しにスプーフィングを実行できる」と、Microsoftは2025年7月20日に公開したアドバイザリで述べています。
Microsoftはまた、CVE-2025-53770およびCVE-2025-53771が、CVE-2025-49704およびCVE-2025-49706で文書化された他の2つのSharePointの脆弱性と関連しており、これらを連鎖させることでリモートコード実行が可能になると指摘しています。このエクスプロイトチェーンはToolShellと呼ばれ、同社の2025年7月のPatch Tuesdayアップデートの一部として修正されました。
「CVE-2025-53770のアップデートには、CVE-2025-49704のアップデートよりも強固な保護が含まれています」とMicrosoftは述べています。「CVE-2025-53771のアップデートには、CVE-2025-49706のアップデートよりも強固な保護が含まれています。」
なお、Microsoftは以前、CVE-2025-53770をCVE-2025-49706のバリアントと位置付けていました。この不一致についてコメントを求められた際、Microsoftの広報担当者はThe Hacker Newsに対し、「顧客へのアップデートの提供を優先し、必要に応じて内容の不正確さも修正していく」と述べました。
同社はまた、現在公開されている内容が正しいものであり、以前の不一致は顧客へのガイダンスには影響しないと述べています。
特定された両方の脆弱性はオンプレミスのSharePoint Serverのみに該当し、Microsoft 365のSharePoint Onlineには影響しません。現時点で以下のバージョンで対応されています。
- Microsoft SharePoint Server 2019(16.0.10417.20027)
- Microsoft SharePoint Enterprise Server 2016(16.0.5508.1000)
- Microsoft SharePoint Server サブスクリプションエディション
- Microsoft SharePoint Server 2019 Core
- Microsoft SharePoint Server 2016(TBD)
潜在的な攻撃を緩和するため、顧客には以下を推奨します。
- サポートされているオンプレミスSharePoint Server(SharePoint Server 2016、2019、SharePoint サブスクリプションエディション)を使用する
- 最新のセキュリティアップデートを適用する
- Antimalware Scan Interface(AMSI)が有効になっていることを確認し、最適な保護のためフルモードを有効にし、Defender Antivirusなどの適切なアンチウイルスソリューションを併用する
- Microsoft Defender for Endpoint保護、または同等の脅威対策ソリューションを導入する
- SharePoint ServerのASP.NETマシンキーをローテーションする
「上記の最新セキュリティアップデートを適用するかAMSIを有効化した後、必ずSharePoint ServerのASP.NETマシンキーをローテーションし、すべてのSharePointサーバーでIISを再起動してください」とMicrosoftは述べています。「AMSIを有効にできない場合は、新しいセキュリティアップデートのインストール後にキーをローテーションする必要があります。」
この動きは、Eye SecurityがThe Hacker Newsに対し、銀行、大学、政府機関を含む少なくとも54の組織が侵害されたと伝えたことを受けたものです。アクティブな悪用は、同社によれば7月18日頃から始まったとされています。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、CVE-2025-53770を既知の悪用済み脆弱性(KEV)カタログに追加し、連邦民間行政部門(FCEB)機関に対し2025年7月21日までに修正を適用するよう求めています。
Palo Alto NetworksのUnit 42も、「重大な影響を及ぼす進行中の脅威キャンペーン」として追跡しており、政府、学校、医療機関(病院を含む)、大企業が即時のリスクにさらされていると述べています。
「攻撃者はMFAやSSOを含むID制御を回避し、特権アクセスを獲得しています」と、Palo Alto NetworksのUnit 42のCTO兼脅威インテリジェンス責任者であるMichael Sikorski氏はThe Hacker Newsに語りました。「内部に侵入すると、機密データの持ち出し、永続的なバックドアの設置、暗号鍵の窃取を行っています。攻撃者はこの脆弱性を利用してシステムに侵入し、すでに足場を築いています。
「もしSharePointオンプレミスがインターネットに公開されている場合、現時点で侵害されていると考えるべきです。パッチを適用するだけでは脅威を完全に排除するには不十分です。特に懸念されるのは、SharePointがMicrosoftのプラットフォームと深く統合されている点で、Office、Teams、OneDrive、Outlookなど、攻撃者にとって価値のある情報がすべて含まれています。侵害は限定的にとどまらず、ネットワーク全体への扉を開くことになります。」
このサイバーセキュリティベンダーは、これを高深刻度・高緊急度の脅威と分類し、オンプレミスのMicrosoft SharePointサーバーを運用している組織に対し、必要なパッチの即時適用、すべての暗号化マテリアルのローテーション、インシデント対応の実施を強く促しています。
「即時の応急処置としては、パッチが利用可能になるまでMicrosoft SharePointをインターネットから切り離すことです」とSikorski氏は付け加えました。「誤った安心感は、長期的な露出や広範な侵害につながる可能性があります。」
(この記事は現在進行中です。詳細は随時更新します。)
翻訳元: https://thehackernews.com/2025/07/microsoft-releases-urgent-patch-for.html