マイクロソフトは、最近悪用された脆弱なSharePointインスタンスに対するゼロデイ脆弱性2件を修正するため、SharePoint Serverのアップデートの提供を開始しました。
これらの脆弱性の悪用(CVE-2025-53770およびCVE-2025-53771として追跡され、「ToolShell」と呼ばれる)は、Eye Securityによると7月18日に始まったとみられています。同社の研究者が最初に組織へ攻撃の警告を発しました。
マイクロソフトは迅速に実際の悪用を確認し、パッチの開発を急ぐ中で緩和策を共有しました。日曜日の夜、同社はSharePoint Subscription EditionおよびSharePoint 2019向けのセキュリティアップデートを発表し、これらの脆弱性を修正する予定です。SharePoint 2016向けのパッチは現在準備中です。
CVE-2025-53770およびCVE-2025-53771は、オンプレミスのSharePoint Serverのみに影響します。これらの脆弱性は連鎖して、認証されていないリモートコード実行を可能にします。
Eye SecurityおよびGoogleのThreat Intelligence Groupが観測した攻撃では、攻撃者がウェブシェルを設置し、暗号化された秘密情報を外部に持ち出して、侵害されたシステムへの完全なアクセスを得ていました。
Eye Securityが実施したインターネットスキャンでは、ToolShell攻撃によって侵害されたSharePointサーバーが数十台確認されました。
非営利のサイバーセキュリティ組織ShadowServerは、9,000件以上のインターネットに公開されたSharePointインスタンスを観測したと報告しており、その多くは北米とヨーロッパに存在します。これらのうち、どれだけが攻撃に対して脆弱かは不明です。
CVE-2025-53770およびCVE-2025-53771は、Viettelのセキュリティ研究者が5月にPwn2Own Berlinハッキングコンテストで実証したCVE-2025-49706およびCVE-2025-49704の亜種です。
広告。スクロールして続きをお読みください。
マイクロソフトはCVE-2025-49706およびCVE-2025-49704を2025年7月のパッチチューズデーアップデートで修正しました。その数日後、Code Whiteの研究者がエクスプロイトチェーンを再現し、「ToolShell」と名付け、認証されていない攻撃者が1回のリクエストで実行できることを示しました。
攻撃者はCVE-2025-49706およびCVE-2025-49704に対するマイクロソフトのパッチを回避し、脆弱なSharePointサーバーへの攻撃を開始したようです。
これを受けて、マイクロソフトは新たなアドバイザリを公開し、新しいCVEを割り当てました。CVE-2025-53770のパッチはCVE-2025-49704のパッチよりも「より強固な保護」を含む予定であり、CVE-2025-53771のパッチはCVE-2025-49706のパッチよりも優れた保護を提供する予定です。
執筆時点で、CVE-2025-53771に関するマイクロソフトのアドバイザリには、実際の悪用についての記載はありません。SecurityWeekは、この脆弱性の悪用状況についてマイクロソフトに確認を求めています。
Palo Alto Networksは週末、CVE-2025-49704およびCVE-2025-49706の悪用が世界中の標的に対して行われていると報告しました。ただし、このアドバイザリはマイクロソフトが新しいCVE識別子を発表する前に公開されたものであり、他で観測された攻撃と同一であることを示唆しています。
サイバーセキュリティ機関CISAは、CVE-2025-53770をKEVカタログに追加し、政府機関に対して直ちに対処するよう指示しました。また、同機関は利用可能な情報と緩和策をまとめた独自の警告も発表しています。
すぐに利用可能なパッチを適用できない組織や、使用しているSharePointバージョンがまだ修正されていない場合は、SharePointでAntimalware Scan Interface(AMSI)統合を有効にし、「フルモード」に設定することが推奨されています。
これらの攻撃で標的となる暗号鍵は、アップデートや緩和策を適用する時点ですでに侵害されている可能性があるため、マイクロソフトはアップデートや緩和策適用後に鍵をローテーションすることを推奨しています。