SharePoint

更新 7/21/25: Microsoft SharePoint 2019 のセキュリティ更新プログラムへのリンクを追加しました。

CVE-2025-53770 および CVE-2025-53771 として追跡されている Microsoft SharePoint の重大なゼロデイ脆弱性は、少なくとも 7 月 18 日以降活発に悪用されており、パッチは提供されておらず、すでに世界中で少なくとも 85 台のサーバーが危険にさらされています。

5月、Viettel Cyber Securityの研究者は、Pwn2Own Berlinで実演された “ToolShell “攻撃で、2つのMicrosoft SharePointの欠陥、CVE-2025-49706と CVE-2025-49704を連鎖させ、リモート・コード実行を実現した。

マイクロソフトは、7月のパッチ・チューズデーの一環としてToolShellの両欠陥にパッチを適用したが、現在、脅威行為者が新たなエクスプロイトによって修正を回避できたと警告している。

これらの新しい脆弱性は、CVE-2025-53770(CVE-2025-49704をバイパス)およびCVE-2025-53771(CVE-2025-49706)として追跡されており、オンプレミスのSharePointサーバーに対する攻撃を積極的に悪用している。

「マイクロソフトは、7月のセキュリティ更新プログラムによって部分的に対処された脆弱性を悪用した、オンプレミスのSharePoint Serverの顧客を標的とした活発な攻撃を認識している」と、マイクロソフトの新しいブログ投稿で警告している

「これらの脆弱性は、オンプレミスの SharePoint Server にのみ適用されます。Microsoft 365のSharePoint Onlineは影響を受けません。

マイクロソフトは現在、ゼロデイ欠陥の両方を修正する以下のSharePoint向け緊急アップデートをリリースしている:

しかし、同社はまだMicrosoft SharePoint 2016のセキュリティアップデートに取り組んでおり、それはすぐにリリースされるはずです。

“はい、CVE-2025-53770 に対する更新プログラムには、CVE-2025-49704 に対する更新プログラムよりも強固な保護が含まれています。CVE-2025-53771に対する更新プログラムには、CVE-2025-49706に対する更新プログラムよりも強固な保護が含まれています。

現在パッチが適用されていない、またはすぐに適用できないSharePointサーバーについては、Microsoftは、最新のSharePointセキュリティ更新プログラムをインストールし、SharePointのAMSI統合を有効にし、すべてのSharePointサーバーにDefender AVを導入することを推奨している。

Microsoft AMSI (Antimalware Scan Interface) は、アプリケーションやサービスが悪意のある可能性のあるコンテンツをインストールされたアンチウイルスソリューションに渡し、リアルタイムでスキャンできるようにするセキュリティ機能です。一般的には、メモリ上のスクリプトやコードを検査するために使用され、難読化された脅威や動的な脅威を検出してブロックするのに役立ちます。

マイクロソフト社によると、これらの緩和策を有効にすることで、認証されていない攻撃による欠陥の悪用を防ぐことができるという。

同社は、SharePoint Server 2016/2019の2023年9月のセキュリティ更新およびSharePoint Server Subscription Editionのバージョン23H2の機能更新以降、この機能はデフォルトで有効になっていると指摘している。

Microsoftはまた、セキュリティ更新プログラムの適用後またはAMSIを有効にした後に、SharePoint Server ASP.NETのマシンキーをローテーションすることを顧客に提案している。

SharePointの管理者は、以下の2つの方法のいずれかを使用してマシンキーをローテーションすることができます:

PowerShell による手動更新

PowerShell を使用してマシンキーを更新するには、Update-SPMachineKey コマンドレットを使用します。

セントラル管理者による手動

以下の手順を実行して、マシン キー ローテーション タイマー ジョブをトリガーします:

  • 中央管理サイトに移動します。
  • 中央管理サイトに移動します
  • マシンキーローテーションジョブを検索し、「今すぐ実行」を選択します
  • ローテーションが完了したら、iisreset.exe を使用してすべての SharePoint サーバーでIIS を再起動します。

AMSI を有効にできない場合、Microsoft は、セキュリティ更新プログラムがリリースされるまで、SharePoint サーバーをインターネットから切断する必要があると述べています。

SharePointサーバが侵害されたかどうかを検出するために、管理者はC:◆PROGRA◆COMMON◆1◆MICROS◆1◆WEBSER◆1◆16◆TEMPLATE◆LAYOUTS◆spinstall0.aspxが存在するかどうかをチェックできる。

Microsoftは、このファイルをチェックするために使用できる以下のMicrosoft 365 Defenderクエリも共有した:

eviceFileEvents|whereFolderPath has "MICROS~1﹑WEBSER~1﹑TEMPLATE﹑LAYOUTS"|whereFileName =~ "spinstall0.aspx "またはFileName has "spinstall0"|プロジェクトTimestamp、DeviceName、InitiatingProcessFileName、InitiatingProcessCommandLine、FileName、FolderPath、ReportId、ActionType、SHA256|順序:Timestamp降順

この記事の公開後、CISAはMicrosoft SharePointの脆弱性CVE-2025-53770をKnown Exploited Vulnerabilityカタログに追加し、連邦政府機関にパッチがリリースされた際に適用する猶予を1日与えた。

「CISAは、信頼できるパートナーからこの脆弱性の悪用を知らされ、直ちにMicrosoftに連絡を取り、対策を講じました」と、CISAのChris Buteraサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクター代理は述べている。

「マイクロソフトは迅速に対応しており、私たちは同社と協力して、影響を受ける可能性のある組織に推奨される緩和策を通知している。CISAは、オンプレミスのMicrosoft Sharepointサーバーを持つすべての組織に対し、推奨される対策を直ちに講じるよう促している。

昨夜、マイクロソフト社に連絡を取り、対策がいつ開始されたかを尋ねたが、ブログの投稿以外にこれ以上共有できるものはないと言われた。

他のサイバーセキュリティ企業のIOCおよび技術情報を以下に示す。

RCE攻撃で悪用される

Microsoft SharePointのゼロデイ攻撃は、オランダのサイバーセキュリティ会社Eye Securityによって最初に確認され、29以上の組織がすでにこの攻撃によって危険にさらされていると伝えた。

Eye Security が最初に攻撃を確認したのは 7 月 18 日で、顧客の EDR エージェントから、アップロードされた悪意のある .aspx ファイルに関連付けられた不審なプロセスが開始されたというアラートを受け取った後でした。

IISのログによると、_layouts/15/ToolPane.aspxにHTTPリファラ/_layouts/SignOut.aspxのPOSTリクエストが行われていました。

調査の結果、CODE WHITE GmbHがエクスプロイトを再現した直後に、脅威行為者がPwn2OwnのToolShell脆弱性を武器化したことが判明し、Soroush Daliliは先週、Webリファラに関するさらなる技術的詳細を共有しました。

“We have reproduced ‘ToolShell’, the unauthenticated exploit chain for CVE-2025-49706 + CVE-2025-49704 used by @_l0gg to pop SharePoint at #Pwn2Own Berlin 2025, it’s really just one request!” とCODE WHITE GmbHはXに投稿した

Demonstration of the created Microsoft SharePoint ToolShell exploit
作成されたMicrosoft SharePoint ToolShell exploitのデモ
ソースはこちら:CODE WHITE GmbH

このエクスプロイトの一環として、攻撃者は “spinstall0.aspx “という名前のファイルをアップロードします。このファイルは、ValidationKeyとDecryptionKeyを含むMicrosoft SharePointサーバーのMachineKey設定を盗むために使用されます。

「現在、ToolShell チェーン(CVE-2025-49706 + CVE-2025-49704)により、攻撃者は ValidationKey をメモリまたは構成から直接抽出するようです。

「この暗号材料がリークされると、攻撃者は、以下の例に示すように、ysoserialと呼ばれるツールを使用して、完全に有効で署名された__VIEWSTATEペイロードを作成することができます。

「攻撃者はysoserialを使用することで、RCEのために有効なSharePointトークンを独自に生成することができます。

Malicious spinstall0.aspx used to steal ValidationKey
ValidationKey
ソースを 盗むために悪意のある spinstall0.aspx が使用されています:

ViewStateは、SharePointを動かすASP.NETによって、Webリクエスト間のWebコントロールの状態を維持するために使用されます。しかし、ViewState が適切に保護されていなかったり、サーバの ValidationKey が公開されていたりすると、ViewState が改ざんされ、デシリアライズ時にサーバ上で実行される悪意のあるコードを注入される可能性があります。

Eye SecurityのCTOであるPiet Kerkhofs氏は、インターネット上で侵害されたサーバーのスキャンを実施し、54の組織が攻撃の影響を受けていることを確認したと述べた。

「世界中で85以上の侵害されたSharePointサーバーが確認されましたが、影響を受けた組織まで絞り込むことができました」とKerkhofs氏は語った。

アイ・セキュリティ社によると、54の組織のうち、侵害された多国籍企業や政府機関がいくつかあるという。

その中には、カリフォルニア州の私立大学、カリフォルニア州の民間エネルギー・セクター事業者、連邦政府の医療機関、民間のAIテック企業、ニューヨーク州の民間Fintech企業、フロリダ州の州政府機関などが含まれる。

Kerkhofs氏はまた、一部のファイアウォールベンダーはHTTP POSTリクエストに添付されたCVE-2025-49704ペイロードのブロックに成功していると語った。しかしKerkhofs氏は、攻撃者がこのシグネチャを回避できれば、さらに多くのSharePointサーバーが攻撃を受ける可能性が高いと警告している。

SharePointサーバーが侵害されたかどうかを判断するために、以下のIOCが共有された:

  • 7月18日にEye Securityが確認したIPアドレス107.191.58[.]76からの攻撃
  • 7月19日にEye Securityが確認したIPアドレス104.238.159[.]149からのエクスプロイト
  • Palo Alto Networksが確認したIPアドレス96.9.125[.]147からのエクスプロイト。
  • C:﹑PROGRA~1COMMON~1MICROS~1WEBSER~116﹑TEMPLATE﹑LAYOUTS﹑spinstall0.aspxファイルの作成。
  • IISログは、_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspxへのPOSTリクエストと_layouts/SignOut.aspxのHTTPリファラーを表示します。

これらの IOC のいずれかが IIS ログまたはファイルシステムで検出された場合、管理者はサーバーが侵害されたと判断し、直ちにオフラインにする必要があります。

さらに調査を進め、脅威の主体が他のデバイスに広がっていないかどうかを確認する必要がある。

この記事は現在進行中であり、新しい情報が入り次第更新されます。

更新 7/20/25 5:44 PM ET:
更新 7/20/25 6:20 PM ET:
7/20/25 7:12 PM ETを更新:実際に悪用されたゼロデイが2つあり、どちらもマイクロソフトのオリジナルの修正プログラムに対するバイパスであるという情報を追加しました。また、SharePointサブスクリプション版のセキュリティ更新プログラムがリリースされたことを追加しました。
更新 7/21/25 12:45 AM ET:Microsoft SharePoint 2019 セキュリティ更新プログラムへのリンクを追加しました。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; /*object-fit: cover;*/ border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Wiz

CISOが実際に使用するボードレポートデッキ

CISOは、取締役会の賛同を得るには、クラウド・セキュリティがどのようにビジネス価値を高めるかについて明確かつ戦略的な見解を示すことから始まることを知っています。

この無料で編集可能な取締役会用レポート・デッキは、セキュリティ・リーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティ・アップデートを有意義な会話に変え、役員会での意思決定を迅速化しましょう。