米国政府は、未知の悪質な攻撃者がMicrosoft SharePointの重大なバグを悪用して、被害者のSharePointサーバーを侵害していると警告した。
CVE-2026-20963はSharePointの重大な逆シリアル化の欠陥であり、認証されていない攻撃者がユーザーの操作なしにサーバー上のコードをリモートで実行できるもので、Redmondはこの問題を1月のパッチ火曜日の一部として修正した。当時、Microsoftによると、この脆弱性は公開されておらず、悪用されていなかった。Microsoftはその悪用を「ありそうもない」と判断していた。
水曜日になり、米国サイバーセキュリティインフラストラクチャ庁はCVE-2026-20963を既知の悪用された脆弱性(KEV)カタログに追加し、連邦政府機関にパッチを発行するためのわずか3日間を与え、ランサムウェア犯罪者がSharePointバグを悪用している者の中にいるかどうかは不明であると述べた。
公開時点では、MicrosoftはCVE-2026-20963が積極的に悪用されていることを示すためにセキュリティアドバイザリを更新していなかった。Microsoftは、誰がこのCVEを悪用しているのか、そして何の目的で悪用しているのかを含むThe Registerの脆弱性に関する問い合わせにすぐには応じなかった。
The Regの読者は、夏から秋にかけてのSharePointの大規模悪用をおそらく覚えているだろう。
7月に遡ると、MicrosoftはいわゆるToolShell脆弱性(CVE-2025-53770)を修正した。これはオンプレミスのSharePointサーバーの重大なリモートコード実行バグである。しかし、修正される前に、中国の攻撃者がこのバグをゼロデイとして発見して悪用し、米国エネルギー省を含む400以上の組織を侵害した。
当時、Microsoftはこの侵入を3つの中国を拠点とするグループに帰属させた:機密知的財産を盗んで元政府および軍人を監視する2つの政府支援グループ、およびこのバグを悪用してWarlockランサムウェアで被害者に感染させた3番目の犯罪組織。
10月、Salt Typhoonを含む他の北京チームも攻撃に参加したことがわかった。®
