ToolShell攻撃がCVE-2025-53770とCVE-2025-53771を連鎖させているかどうかの混乱
Microsoft SharePointサーバーを標的としたゼロデイ攻撃の詳細が引き続き明らかになっていますが、どの脆弱性が悪用されたのかについては依然として混乱が残っています。
MicrosoftとEye Securityは週末に、警告を発し、SharePointサーバーがゼロデイ攻撃の標的となっていることを明らかにしました。悪用が明らかになった時点では、パッチは提供されていませんでした。
大規模な攻撃は7月18日に始まりました。これは、研究者が最近パッチが適用された2つの脆弱性、CVE-2025-49706とCVE-2025-49704を連鎖させて、SharePoint Serverインスタンス上で認証不要のリモートコード実行を可能にするエクスプロイトチェーンToolShellを実証した数日後のことでした。
脅威アクターがMicrosoftのパッチを回避し、実際に脆弱性を悪用し始めたようです。これを受けて、Microsoftは新たに2つのCVEを割り当てました。CVE-2025-53770はCVE-2025-49704のバリエーション、CVE-2025-53771はCVE-2025-49706のバリエーションです。
その後、MicrosoftはSharePoint Serverの影響を受ける各バージョン(SharePoint Subscription Edition、SharePoint 2019、SharePoint 2016)に対してCVE-2025-53770とCVE-2025-53771のパッチを提供しました。オンプレミスインストールのみが攻撃の影響を受けます。
当初の報告では、CVE-2025-53770が攻撃で悪用されたとされていましたが、その後サイバーセキュリティ業界は、この脆弱性がCVE-2025-53771(またはCVE-2025-49706)と連鎖して悪用された可能性を示唆しました。
SentinelOneは月曜日、MicrosoftとEye Securityが警告を出す前の7月17日に最初のToolShell攻撃を観測したと報告しました。これは同社が観測した3つの異なる活動クラスターのうち最初のものでした。
SentinelOneが最初に観測した攻撃は、戦略的価値や高いアクセス権を持つと思われる組織など、慎重に選ばれたターゲットを狙っていました。被害者は重要インフラ、製造業、技術コンサルティング、専門サービスなどの分野で確認されています。
広告。スクロールして読み続けてください。
ToolShell攻撃の報道後に同社が観測した第2・第3の活動クラスターは、機会的なものであり、最初の攻撃の波とは無関係である可能性が高いと考えられます。SentinelOneは、すでに国家支援型の攻撃者が偵察や初期段階の悪用活動を行っていることを確認しています。
「パッチ未適用のシステムを狙って、国家関与および金銭目的の攻撃者による広範な悪用の試みが加速すると予想されます」と同社は警告しています。
攻撃の報道が出た際、非営利のサイバーセキュリティ組織ShadowServerは、インターネットに公開されたSharePointインスタンスが9,000件以上観測され、その大半が北米とヨーロッパにあると報告しました。そのうちどれだけが脆弱だったかは不明ですが、CrowdStrikeは7月18日から21日の間に数百台のサーバーが攻撃されたと報告しています。
ワシントン・ポストは、複数の情報筋から、攻撃がエネルギー企業、大学、アジアの通信会社、米国およびヨーロッパの政府機関が保有するSharePointサーバーを標的にしていたことを明らかにしました。
SentinelOneは、調査中であることを理由に攻撃を特定の脅威グループに帰属させていませんが、ワシントン・ポストは政府および民間部門の情報筋から、初期のToolShell攻撃は名前の明かされていない中国関連の脅威アクターによって行われた可能性が高いと伝えています。
CVE-2025-53770とCVE-2025-53771の連鎖に関する混乱
これらの攻撃でCVE-2025-53770がCVE-2025-53771(またはCVE-2025-49706)と連鎖して悪用されたかどうかについては、依然として多くの混乱があります。
MicrosoftのCVE-2025-53771およびCVE-2025-49706に関するアドバイザリでは、両脆弱性とも悪用されていないと記載されており、MicrosoftはSecurityWeekからの問い合わせに対して説明を拒否しています。
複数のサイバーセキュリティ企業の公開ブログでは、これらの脆弱性が連鎖して悪用されたと示唆されていますが、SecurityWeekの問い合わせに対し、Eye SecurityなどはCVE-2025-53770がCVE-2025-53771と連鎖したことを独自に確認できなかったと述べています。
執筆時点では、トレンドマイクロ、Palo Alto Networks、CrowdStrike、SentinelOneのブログ記事は、両脆弱性が実際に悪用されたと示唆または明言しています。各社に確認を求めており、回答があれば本記事を更新します。
広範な悪用を最初に確認したGoogleのThreat Intelligence Groupは、本件に関するSecurityWeekの説明要請に回答していません。
ToolShell脆弱性、悪用、緩和策に関する追加情報
CVE-2025-53770は、認証されていない攻撃者がネットワーク経由でコードを実行できる重大なデシリアライズ問題と説明されています。CVE-2025-53771は、中程度の深刻度のパストラバーサル脆弱性で、認証済みの攻撃者がなりすましを行うことができます。
CVE-2025-53770とCVE-2025-53771は、SharePointのToolPane機能(ウェブサイトの構成や管理に使用)への特別に細工されたリクエストを利用して連鎖させることができ、最終的に任意のコード実行が可能となります。
実際に観測された攻撃では、脅威アクターがウェブシェルを設置し、暗号化秘密情報を流出させることで、侵害されたシステムへの完全なアクセス権を得ていました。
Palo Alto Networksは「攻撃者は多要素認証(MFA)やシングルサインオン(SSO)を含むアイデンティティ制御を回避し、特権アクセスを取得しています。内部に侵入した後は、機密データの流出、持続的なバックドアの設置、暗号鍵の窃取を行っています」と述べています。
CISAはCVE-2025-53770をKEVカタログに追加し、政府機関に対して直ちに対応するよう指示しました。また、この脆弱性に関する警告も発出しています。
すぐにパッチを適用できない組織には、SharePointでAntimalware Scan Interface(AMSI)統合を有効化し、「フルモード」に設定することが推奨されています。
これらの攻撃で標的となった暗号鍵は、アップデートや緩和策が適用されるまでにすでに漏洩している可能性があるため、Microsoftはパッチや緩和策適用後に鍵のローテーションを推奨しています。