攻撃者はオンプレミスのMicrosoft SharePointサーバーに影響を及ぼす重大なゼロデイ脆弱性を積極的に悪用しており、業界の大手企業が週末に警鐘を鳴らしました。
研究者らは金曜日の午後にこの継続的な攻撃の活発な動きを発見し、土曜日の夕方までに一斉に警告が発せられました。Microsoftは土曜日に緊急のガイダンスを発表し、オンプレミスのSharePoint利用者に対し、SharePointでAntimalware Scan Interfaceを有効化し適切に構成するか、緊急パッチが提供されるまでサーバーをインターネットから切断するよう勧告しました。同社は日曜日に影響を受けた3つのSharePointバージョンのうち2つに対してパッチをリリースしましたが、月曜日の朝時点でSharePoint Server 2016向けのパッチはまだ提供されていません。
研究者らは、攻撃者が「ToolShell」と呼ばれるエクスプロイトを既に使用し、民間企業や政府機関を含む世界中の数百の組織に侵入したと警告しています。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)はアクティブな攻撃に関する警告を発し、この脆弱性を既知の悪用脆弱性カタログに追加しました。
「これは高い深刻度と緊急性を持つ脅威です」と、Palo Alto Networks Unit 42の最高技術責任者兼脅威インテリジェンス責任者であるMichael Sikorski氏は声明で述べました。
watchTowrのプロアクティブ脅威インテリジェンス責任者Ryan Dewhurst氏は、米国、ドイツ、フランス、オーストラリアを中心に、政府、教育、重要インフラ分野の数百の組織が影響を受けていると述べました。「これは急速に世界規模に拡大しています」と彼は述べ、エクスプロイトの初期スキャンは水曜日に始まり、木曜・金曜にかけて本格的な悪用が行われたと付け加えました。
この重大なリモートコード実行脆弱性CVE-2025-53770は、初期CVSSスコア9.8で、攻撃者が認証されていないシステムに侵入し、ファイルや内部設定、コード実行に完全にアクセスできるようにします。この欠陥は、今月初めのMicrosoftのセキュリティアップデートで修正されたCVE-2025-49706の亜種です。
新たに広く悪用されているこの欠陥は「MicrosoftのCVE-2025-49706に対する元のパッチを回避するものだ」とDewhurst氏は述べました。Microsoftは、7月のセキュリティアップデートで部分的に対処された脆弱性を悪用し、オンプレミスのSharePointサーバー利用者を標的とした攻撃が行われていることを確認しています。
「攻撃者は多要素認証やシングルサインオンなどの認証制御を回避して特権アクセスを獲得しています。内部に侵入した後は、機密データの持ち出し、永続的なバックドアの設置、暗号鍵の窃取を行っています」とSikorski氏は付け加えました。
「攻撃者はこの脆弱性を利用してシステムに侵入し、すでに足場を築いています。インターネットに公開されたオンプレミスのSharePointを運用している場合、現時点で侵害されたと考えるべきです」と彼は述べました。「パッチ適用だけでは脅威を完全に排除するには不十分です。」
Palo Alto Networks Unit 42によると、攻撃者はPowerShell経由で悪意のあるASPXペイロードを投下し、SharePointサーバーの内部暗号化マシンキーを盗むことで永続的なアクセスを維持し、世界中の組織を標的にしています。
「MachineKeyの窃取は極めて重要です。なぜなら、攻撃者に将来的なパッチをも回避できる永続的かつ認証不要のアクセスを与えるためです」とGoogle Threat Intelligence Groupの主任脅威アナリストAustin Larsen氏はLinkedIn投稿で述べました。「脆弱な公開SharePointインスタンスを持つ組織は、速やかに侵害調査を行い、完全な脅威除去のためにこれらのキーのローテーションを準備すべきです。」
Eye Securityの研究者は、マスエクスプロイトキャンペーンの一環として少なくとも2回の攻撃の波を観測しており、8,000以上の公開SharePointサーバーをスキャンした結果、エクスプロイトがシステム全体に広がっていると判断しました。
「数時間以内に、同じペイロードが同じファイルパスで使用されて侵害された複数のサーバーを特定しました。いずれの場合も、攻撃者は機密キー情報を漏洩させるシェルを設置し、完全なリモートアクセスを可能にしていました」とEye Securityはブログ投稿で述べています。
攻撃者の特定作業は継続中ですが、初期の兆候としては永続性を重視する国家支援型攻撃者が関与しているとDewhurst氏は述べました。「いつものことですが、脆弱性に大きな注目が集まると、犯罪組織やその他の脅威アクターも追随します。まさに今、その状況が起きています。」
Eye SecurityおよびwatchTowrと連携して影響を受けた組織への通知を行っているShadowserverは、スキャンの結果、1日あたり約9,300台のSharePointサーバーがインターネットに公開されていることを発見したと述べました。
「CISAは信頼できるパートナーからこの悪用の報告を受け、直ちにMicrosoftに連絡し対応を要請しました。Microsoftは迅速に対応しており、影響を受ける可能性のある組織への推奨緩和策の通知を支援しています」とCISAのChris Butera代行副局長は声明で述べました。「CISAは、オンプレミスのMicrosoft SharePointサーバーを運用するすべての組織に、直ちに推奨される対策を講じるよう強く促します。」
Microsoftは質問への回答を控えましたが、同社のセキュリティ幹部は週末を通じてソーシャルメディアで最新情報を発信し、影響を受けたすべてのSharePointバージョン向けのパッチを緊急でリリースするために取り組んでいると述べました。Microsoft 365のクラウド版SharePointは影響を受けていません。
「今回は“ほぼ最悪のケース”と呼んでも差し支えないと確信しています。週末は組織に自らのリスクを警告することに費やしましたが、場合によってはリアルタイムで侵害される様子を見守るしかありませんでした」とDewhurst氏は述べました。
「悲しい現実ですが、組織がパッチを適用しなかったり、攻撃者が暗号鍵を盗んだ後に再びアクセスを取り戻そうとするため、この脆弱性は今後も長期間にわたり悪用され続けるでしょう。今週末の活動でもその傾向が顕著に見られました」と彼は述べました。
Sikorski氏は、SharePointがMicrosoftのプラットフォームと深く統合されており、攻撃者にとって価値のあるすべての情報が含まれていることから、特に懸念されると指摘しました。「一度侵害されると被害は限定されず、ネットワーク全体への扉が開かれることになります」と彼は述べました。
「即時の応急処置としては、パッチが提供されるまでMicrosoft SharePointをインターネットから切断することです」とSikorski氏は付け加えました。「誤った安心感は、長期的なリスク露出と広範な侵害につながりかねません。」
翻訳元: https://cyberscoop.com/microsoft-sharepoint-zero-day-attack-spree/