Microsoft SharePointで危険性の高い脆弱性-既に悪用も確認(CVE-2025-53770,CVE-2025-53771)

セキュリティニュース

投稿日時: 更新日時:

SharePointで危険性の高い脆弱性-既に悪用も確認(CVE-2025-53770,CVE-2025-53771)

2025年7月19日、MicrosoftはSharePoint Serverのゼロデイ脆弱性「CVE-2025-53770」および関連する「CVE-2025-53771」への対応として、オンプレミス環境に向けた緊急セキュリティガイドを発表しました。この脆弱性はゼロデイ攻撃としてすでに世界中で活発に悪用されており、対象となる組織は即時の対応が求められています。

関連記事:Microsoft SharePointの深刻な脆弱性に対する攻撃が活発化 PoCも公開(CVE-2025-53770,CVE-2025-53771,CVE-2025-49704,CVE-2025-49706)

影響を受ける環境

SharePoint Server 2016、2019、およびSubscription Edition(オンプレミス環境

なお、SharePoint Online(Microsoft 365)はこの脆弱性に影響しません。

Microsoftによる緊急対応ガイド(2025年7月19日付)

対策1:サポート対象バージョンの使用

  • 対象:SharePoint Server 2016、2019、Subscription Edition

  • 未対応バージョン(2010/2013等)はアップグレード推奨

対策2:7月のセキュリティ更新プログラムを即時適用

製品 KB番号 ビルド番号
SharePoint Server 2019 KB5002741 16.0.10417.20027
SharePoint Server 2016 KB5002744 16.0.5508.1000

対策3:AMSI(Antimalware Scan Interface)の有効化

  • Defender Antivirusと連携し、不正なスクリプトやPowerShellの検出を強化

  • 2023年9月以降のアップデートで既定値として有効化済み(該当バージョン)

対策4:ASP.NET Machine Keyのローテーション

  • 機密キーの漏えいによって攻撃が継続されるため、パッチ適用後に必ずキーを更新

  • PowerShellまたはCentral Adminから手動実行

対策5:Microsoft Defenderによる検出強化

  • 検知名:Trojan:Win32/HijackSharePointServer.A など

  • Defender for Endpointでの検知ルールにも対応済み

攻撃の発端と発見

2025年7月18日、欧州のEye SecurityのSOC(セキュリティオペレーションセンター)にて、ある顧客のオンプレミスSharePointサーバ上で疑わしい.aspxファイルの動作を検知。IISログを調査すると、異常なRefererヘッダを持つHTTPリクエストにより、認証を経ずにspinstall0.aspxというファイルが配置され、実行されていたことが判明しました。

このファイルは単なるWebシェルではなく、SharePointサーバのMachineKey(ValidationKey・DecryptionKey)を抽出するコードが仕込まれており、取得した鍵を用いて__VIEWSTATEトークンを偽造し、任意のコマンドを実行可能にする仕組みでした。

攻撃の技術的概要

利用された脆弱性

  • CVE-2025-49706(認証バイパス)
  • CVE-2025-49704(RCE)
  • CVE-2025-53770(上記の実働バリアント)

これらはPwn2Own 2025で報告された脆弱性をもとに攻撃チェーン化され、「ToolShell」と呼ばれています。特筆すべきは、認証を必要とせずにRCE(リモートコード実行)を達成できる点です。

攻撃フロー

  1. 特定のURL(/_layouts/15/ToolPane.aspx)に対し、Refererを/_layouts/SignOut.aspxと偽装してPOSTリクエストを送信。
  2. Webサーバ上にspinstall0.aspxを配置。
  3. このASPXファイルにGETアクセスすることで、サーバのMachineKey情報が外部に漏洩。
  4. 漏洩したキーを使い、__VIEWSTATEを偽造。
  5. ysoserialを用いて、PowerShellなどのコマンドをRCEとして実行。

実際の被害事例と確認状況

Eye Securityは、8000台以上のインターネット公開SharePointサーバをスキャンし、複数の実際の侵害を確認しています。

  • 被害確認されたサーバの多くは、spinstall0.aspxが配置されていた。
  • IISログには、ユーザー認証情報が記録されておらず、完全に認証不要で実行された攻撃であることが裏付けられた。
  • 一部の被害組織では、既にWebサーバの制御が奪われ、内部情報が窃取された形跡あり。

侵入の証拠(IOC)

以下の指標が検知された場合、即時にフォレンジック調査と封じ込めが必要です:

  • /spinstall0.aspxへのGETアクセスログ
  • Refererに/_layouts/SignOut.aspxを含むPOSTリクエスト
  • ToolPane.aspxへの異常なアクセス
  • IISのログ上でユーザー名なしにWebシェル設置
  • PowerShellのエンコード実行
  • 検知されたIP例:
    • 107.191.58[.]76
    • 104.238.159[.]149
    • 96.9.125[.]147

攻撃がもたらす組織リスク

この攻撃は、MFA・SSOなどの認証基盤をすり抜けて実行されるゼロデイ攻撃です。攻撃者はSharePoint内のファイル操作だけでなく、ドメイン全体への横展開暗号鍵の窃取による永続的な侵害が可能になります。

一度機密鍵が奪取されれば、仮にパッチを当てても署名付きトークンを再利用して侵害が継続されるリスクがあり、根本的な防止策としては、キーのローテーションが必須です。

 

参照

https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-07-19-Microsoft-SharePoint-vulnerabilities-CVE-2025-49704-and-49706.txt

SharePoint 0-day uncovered (CVE-2025-53770)