CVE-2025-53770 ゼロデイ脆弱性

Microsoft SharePoint Server の深刻なセキュリティ欠陥が、現在進行中の大規模サイバー攻撃キャンペーンの標的となっています。CVSS スコア 9.8 で CVE-2025-53770 として追跡されているこの脆弱性は、ゼロデイ脆弱性に分類され、Microsoft の 2025 年 7 月の月例パッチで修正されたコードインジェクションおよびリモートコード実行の脆弱性である CVE-2025-49704 (CVSS 8.8) と密接に関連しています。この脆弱性は、信頼されていないデータのデシリアライズに起因しており、攻撃者が適切な権限なしにリモートから悪意のあるコードを実行できる可能性があります。

アクティブな攻撃と影響を受けるシステム

研究者らは、サイバー犯罪者がオンプレミスのSharePoint Serverインスタンスに対してこの脆弱性を積極的に悪用していることを確認しました。重要なのは、Microsoft 365のSharePoint Onlineは影響を受けていないことです。攻撃者は、SharePointがデシリアライズ時に信頼できないオブジェクトを処理する方法を悪用し、ユーザー認証前にコマンドを実行する権限を得ています。システムに侵入すると、攻撃者は盗んだマシンキーを使用して偽造ペイロードを生成し、ラテラルムーブメントと永続アクセスを可能にします。攻撃者の活動は正規のSharePointトラフィックを模倣できるため、検出と緩和は困難です。

複雑なエクスプロイトチェーン

CVE-2025-53770は、CVE-2025-49706（CVSSスコア6.3のなりすまし脆弱性）やCVE-2025-49704などの他の脆弱性と併用され、ToolShellと呼ばれる高度なエクスプロイトチェーンを形成している可能性が示唆されています。攻撃者はCVE-2025-49706を悪用し、CVE-2025-49704を悪用するリモートコード実行ペイロードを配信します。HTTPリファラーとして「_layouts/SignOut.aspx」を追加すると、CVE-2025-49706がCVE-2025-53770に変換され、より効率的なエクスプロイトプロセスが可能になると報告されています。

攻撃には通常、PowerShell経由で配信されるASPXペイロードが使用され、サーバーのMachineKey構成（ValidationKeyとDecryptionKey）を盗むことが目的です。これらのキーは、攻撃者がSharePointが有効なものとして受け入れる悪意のある__VIEWSTATEペイロードを作成できるため、認証済みのリクエストをリモートコード実行の機会に変えてしまうため、非常に重要です。

妥協の規模

これまでに世界中で85台以上のSharePointサーバーが侵害を受け、多国籍企業や政府機関を含む少なくとも29の組織に影響を与えています。攻撃者が暗号鍵を入手してしまうと、復旧ははるかに複雑になります。セキュリティパッチを適用した後でも、盗まれた鍵を手動でローテーションまたは再構成しない限り、攻撃者は依然としてアクセスを維持できる可能性があります。

緩和策

公式パッチが利用可能になるまで、Microsoftは組織に対し、SharePointでAntimalware Scan Interface（AMSI）の統合を有効にすることを推奨しました。AMSIを有効化できないお客様には、脆弱なSharePoint Serverをインターネットから切断することを強く推奨しました。

継続的な悪用報告を受けて、Microsoft は脆弱なシステムを保護するために、CVE-2025-53770 と新たに発見された脆弱性 CVE-2025-53771 の両方に対するパッチをリリースしました。

CISAの警告

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、CVE-2025-53770の悪用が確認されたという警告を発しました。この脆弱性により、攻撃者はネットワーク経由で認証されていないリモートコード実行を行うことができるため、パッチが適用されていないSharePoint環境にとって深刻な脅威となります。