最近公開された重大なMicrosoft SharePointの脆弱性は、Check Point Researchの調査によると、2025年7月7日にはすでに悪用が始まっていたことが判明しました。
サイバーセキュリティ企業は、発表によると、最初の悪用の試みが西側の大手政府機関(名称非公開)を標的に観測され、7月18日と19日に活動が激化し、北米および西ヨーロッパの政府、通信、ソフトウェア分野に広がったとしています。
Check Pointはまた、悪用活動が3つの異なるIPアドレス(104.238.159[.]149、107.191.58[.]76、96.9.125[.]147)から発生していたと述べています。このうち1つは以前、Ivanti Endpoint Manager Mobile(EPMM)アプライアンスのセキュリティ欠陥(CVE-2025-4427およびCVE-2025-4428)の兵器化に関連付けられていました。
「私たちは緊急かつアクティブな脅威を目撃しています。オンプレミスのSharePointにおける重大なゼロデイが野放しで悪用されており、世界中の何千もの組織が危険にさらされています」とCheck Point Researchの脅威インテリジェンスディレクター、Lotem Finkelstein氏はThe Hacker Newsに語りました。
「7月7日以降、政府、通信、テクノロジー分野で数十件の侵害試行を確認しています。企業は直ちにセキュリティシステムを更新することを強く推奨します。このキャンペーンは高度かつ急速に進行しています。」
攻撃チェーンは、SharePoint Serverの新たに修正されたリモートコード実行の脆弱性CVE-2025-53770を利用し、さらにCVE-2025-49706(Microsoftが2025年7月のPatch Tuesdayで修正したなりすましの脆弱性)と組み合わせて初期アクセスと権限昇格を実現しています。
この段階で注目すべきは、今月明らかになったSharePointの脆弱性が2つのセット存在することです。
- CVE-2025-49704(CVSSスコア: 8.8)- Microsoft SharePointリモートコード実行の脆弱性(2025年7月8日修正)
- CVE-2025-49706(CVSSスコア: 7.1)- Microsoft SharePoint Serverなりすましの脆弱性(2025年7月8日修正)
- CVE-2025-53770(CVSSスコア: 9.8)- Microsoft SharePoint Serverリモートコード実行の脆弱性
- CVE-2025-53771(CVSSスコア: 7.1)- Microsoft SharePoint Serverなりすましの脆弱性
CVE-2025-49704とCVE-2025-49706は、まとめてToolShellと呼ばれ、SharePoint Serverインスタンス上でリモートコード実行を引き起こす悪用チェーンです。これらは今年5月初旬のPwn2Own 2025ハッキングコンテストでViettel Cyber Securityによって最初に公開されました。
週末に明らかになったCVE-2025-53770とCVE-2025-53771は、それぞれCVE-2025-49704およびCVE-2025-49706の亜種とされており、今月初めにMicrosoftが実施した元の修正を回避するものとされています。
これは、Microsoftが「7月のセキュリティアップデートで一部対応された脆弱性」を悪用するアクティブな攻撃を認めた事実からも裏付けられます。同社はまた、CVE-2025-53770およびCVE-2025-53771のアップデートにはCVE-2025-49704およびCVE-2025-49706よりも「より強固な保護」が含まれているとアドバイザリで述べています。ただし、CVE-2025-53771については、Redmondによって野放しで悪用されているとは認定されていません。
「CVE-2025-53770は、Microsoft SharePoint Serverが信頼できないデータのデシリアライズを処理する方法における弱点を悪用します」とBitdefenderのテクニカルソリューションディレクター、Martin Zugec氏は述べています。「攻撃者はこの脆弱性を利用して認証不要のリモートコード実行を実現しています。」
これは、悪意のあるASP.NETウェブシェルを展開し、プログラム的に機密性の高い暗号鍵を抽出することで実現されます。窃取された鍵は、その後、悪意のある__VIEWSTATEペイロードの作成と署名に利用され、持続的なアクセスの確立やSharePoint Server上での任意コマンドの実行を可能にします。
Bitdefenderのテレメトリによると、米国、カナダ、オーストリア、ヨルダン、メキシコ、ドイツ、南アフリカ、スイス、オランダで野放しの悪用が検出されており、この脆弱性の広範な悪用が示唆されています。
Palo Alto Networks Unit 42は独自のキャンペーン分析で、Base64でエンコードされたPowerShellコマンドを実行し、「C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx」にファイルを作成し、その内容を解析するコマンドが観測されたと述べています。
「spinstall0.aspxファイルは、ValidationKeys、DecryptionKeys、サーバーのCompatabilityModeを取得するための様々な機能を実行できるウェブシェルであり、これらはViewState暗号化キーの偽造に必要です」とUnit 42は脅威ブリーフで述べています。
 |
| spinstall0.aspxの内容 |
SentinelOneが月曜日に発表したアドバイザリによると、同社は7月17日に最初の悪用を検出し、3つの「異なる攻撃クラスター」(国家支援の脅威アクターを含む)が偵察や初期段階の悪用活動に関与していることを特定しました。
キャンペーンの標的には、テクノロジーコンサルティング、製造業、重要インフラ、機密性の高い建築・エンジニアリング組織に関連するプロフェッショナルサービスなどが含まれます。
「初期の標的から、この活動が当初は戦略的価値や高いアクセス権を持つ組織を慎重に選んで狙っていたことが示唆されます」と研究者のSimon Kenin氏、Jim Walter氏、Tom Hegel氏は述べています。
攻撃活動の分析では、2025年7月18日午前9時58分(GMT)にパスワード保護されたASPXウェブシェル(「xxx.aspx」)が使用されていたことが明らかになりました。このウェブシェルは、埋め込みフォームによる認証、cmd.exeによるコマンド実行、ファイルアップロードの3つの機能をサポートしています。
その後の悪用活動では、「spinstall0.aspx」ウェブシェルを使用してホストから機密性の高い暗号化情報を抽出・公開する手法が確認されています。
spinstall0.aspxは「従来のコマンドウェブシェルではなく、偵察および持続性維持のユーティリティ」であると研究者は説明しています。「このコードはホストのMachineKey値(ValidationKey、DecryptionKey、暗号化モード設定を含む)を抽出・表示します。これらの情報は、ロードバランスされたSharePoint環境で持続的なアクセスを維持したり、認証トークンを偽造したりする攻撃者にとって極めて重要です。」
通常、他のウェブシェルはリモートアクセスを容易にするためインターネットに公開されたサーバーに設置されますが、spinstall0.aspxはSharePointインスタンス間で認証やセッショントークンを偽造するための暗号化シークレットの収集のみを目的として設計されているようです。
CrowdStrikeによると、これらの攻撃は、PowerShellを介してspinstall0.aspxを書き込もうとする特別に細工されたHTTP POSTリクエストから始まります。同社は160以上の顧客環境で数百件の悪用試行をブロックしたと述べています。
SentinelOneはまた、「no shell」と名付けられたクラスターを発見しました。これは他の脅威アクターよりも「より高度かつステルス性の高いアプローチ」を取り、ディスク上にペイロードをドロップせず、メモリ内で.NETモジュールを実行する手法を選択していました。この活動はIPアドレス96.9.125[.]147から発生していました。
「このアプローチは検出やフォレンジック復旧を著しく困難にし、ファイルレスな事後悪用技術がもたらす脅威を浮き彫りにしています」と同社は述べており、「熟練したレッドチームのエミュレーション演習か、回避的なアクセスと認証情報の窃取に注力する有能な脅威アクターの仕業である可能性がある」と推測しています。
現時点では攻撃活動の背後にいる人物は特定されていませんが、Google傘下のMandiantは初期の悪用を中国系ハッキンググループに帰属しています。
Censysのデータによると、オンラインのオンプレミスSharePointサーバーは9,762台存在しますが、すべてがこの脆弱性の影響を受けるかは現時点で不明です。SharePointサーバーは機密性の高い組織データが保存されているため脅威アクターにとって魅力的な標的であり、ユーザーは迅速に修正パッチの適用、キーのローテーション、インスタンスの再起動を行うことが不可欠です。
「初期の悪用に関与したアクターのうち少なくとも1つは中国系の脅威アクターであると評価しています」とGoogle CloudのMandiant Consulting CTO、Charles Carmakal氏はLinkedInの投稿で述べています。「複数の分野や世界各地で被害者が確認されています。この活動は主にマシンキーの窃取を伴い、パッチ適用後も被害者環境へのアクセスに利用される可能性があります。」
翻訳元: https://thehackernews.com/2025/07/hackers-exploit-sharepoint-zero-day.html