MicrosoftとCISA、オンプレミスSharePointサーバーを標的としたサイバー攻撃に警告

Microsoftは土曜日、ハッカーが重大なSharePointの脆弱性（ToolShellと呼ばれる）を悪用し、オンプレミスの顧客を標的とした攻撃を行っていると警告しました。

この脆弱性はCVE-2025-53770として追跡されており、信頼できないデータのデシリアライズに関係し、CVE-2025-49706の亜種です。

サイバーセキュリティ・インフラセキュリティ庁（CISA）は日曜日、この脆弱性により悪意のある攻撃者がSharePointのコンテンツ（ファイルシステムや内部設定を含む）に完全にアクセスできる可能性があると述べました。

「CISAは信頼できるパートナーからこの悪用について知らされ、直ちにMicrosoftに連絡して対応を依頼しました」と、サイバーセキュリティ担当代理執行副局長のChris Butera氏は声明で述べました。「Microsoftは迅速に対応しており、私たちは同社と協力して、影響を受ける可能性のある組織に推奨される緩和策を通知するために取り組んでいます。」

同庁は、オンプレミスのMicrosoft SharePointサーバーを持つすべての組織に対し、迅速に緩和策を実施するよう強く求めました。

Microsoftは日曜日、セキュリティアップデートをリリースし、CVE-2025-53770および関連する脆弱性CVE-2025-53771に対応しました。顧客には直ちにパッチを適用するよう強く求めています。

Eye Securityの研究者によると、ハッカーはすでに少なくとも2回の攻撃波で数十の脆弱なシステムに侵入しており、同社は土曜日にこの脆弱性を最初に公開し、世界中で8,000台以上のSharePointサーバーをスキャンしたと述べています。

watchTowrの研究者は、悪用は早ければ7月16日から始まっていた可能性があると述べています。

この攻撃により、米国の少なくとも2つの連邦機関、複数の欧州政府機関、米国のエネルギー企業が侵害されたとワシントン・ポスト紙が報じています。

マルチステート情報共有分析センターは、すでに150以上の積極的に標的とされている州および地方自治体機関に通知したと、広報担当者がCybersecurity Diveに語りました。同センターは、K-12学区や大学を含む1,100台以上の脆弱なサーバーを検出したと述べています。

Googleの脅威インテリジェンスグループは、ハッカーがWebシェルをインストールし、標的サーバーから暗号化秘密情報を盗み出しているのを観測したと、幹部がLinkedInで述べています。

Shadowserverは日曜日、9,300の公開IPを追跡しており、watchTowrおよびEye Securityと協力して影響を受けた顧客への通知を進めていると述べました。

今月初め、Code White GmbHの研究者が、CVE-2025-49706とCVE-2025-49704を組み合わせてToolShellを実演しました。