2025 年 7 月 22 日更新:Microsoft 社が、SharePoint Enterprise Server 2016 向けのセキュリティ更新プログラムをリリースしました。この更新(ID KB5002760)は、以下のリンク
から入手できます。
Cisco Talos は、CVE-2025-53770 および CVE-2025-53771 が実際に悪用されていることを認識しています。これらは、SharePoint Server Subscription Edition、SharePoint Server 2016、および SharePoint Server 2019 に影響を与えるパストラバーサルの脆弱性です。Microsoft 社によると、これらの脆弱性は Microsoft 365 の SharePoint Online には影響せず、オンプレミスの SharePoint サーバーにのみ影響するとのことです。
Microsoft 社は影響を受ける複数の製品に対するセキュリティ更新プログラムと緩和策もリリースしています。SharePoint Server 2016 向けの更新もリリースされています。
CVE-2025-53770/CVE-2025-53771 の 2 件の脆弱性は、7 月の Microsoft セキュリティ更新プログラムで公表された CVE-2025-49704 および CVE-2025-49706 に関連しています。Microsoft 社が公開した新しい更新プログラムは、これらの脆弱性を標的としたエクスプロイト試行に対してより包括的な防御策を講じています。Microsoft 提供の更新プログラムのインストールに加え、データの完全性を確保するために、SharePoint Server の ASP.NET マシンキーのローテーションも推奨されています。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)も、保護されていない SharePoint サーバーを標的とした継続的なエクスプロイト試行に関して、詳細情報と技術的指標を 2025 年 7 月 18 日から 19 日にかけて発表しました。
脆弱性の詳細
いずれも、認証なしでのリモートコード実行の脆弱性であり、CVE-2025-49704 と CVE-2025-49706 に関連しています。これら関連する以前の脆弱性では、メモリまたは設定から ValidationKey を抽出して有効な署名を取得する際にユーザー認証が必要であることが特徴でした。CVE-2025-53770 および CVE-2025-53771 では、攻撃者は認証されていなくても有効な署名を取得することに成功し、結果として認証なしでリモートコード実行が可能になりました。
SharePoint Server のほとんどのバージョンには、Microsoft 社からすでにパッチが提供されていますが、代替策として、Microsoft 社はマルウェア対策スキャンインターフェイス(AMSI)を有効にし、関連するウイルス対策ソリューションで正しく設定することを推奨しています。
Microsoft 社は、攻撃によって署名キーが侵害された場合に備えて、パッチ適用後に SharePoint Server ASP.NET マシンキーのローテーションを行うことをユーザーに推奨しています。どちらの対策も、PowerShell または Central Admin を使用して手動で行うことができます。
カバレッジ
2025 年 7 月 8 日に公開された 7 月の Microsoft 月例パッチに対するカバレッジの一環として、Talos は CVE-2025-49704 を標的としたエクスプロイト試行を検出するため、Snort SID 65092 を公開しました。Microsoft 提供の新たな詳細情報に加え、これらの脆弱性を狙った攻撃活動について継続的に報告するオープンソース情報を調査した結果、既存のカバレッジが現時点でも有効であることを確認しました。さらに Talos は、現在の攻撃で展開されている WebShell を検出できる Snort SID 65183 を公開しました。
ClamAV 検出:Asp.Webshell.SharpyShell-10056352-3
Splunk 脅威調査チームは、CVE-2025-53770 のエクスプロイト試行および侵害後の挙動を対象とした検出分析コンテンツを開発しました。このセキュリティコンテンツには、脆弱な ToolPane エンドポイントへの不審な SharePoint リクエストや、ToolShell 攻撃で確認された特徴的な認証バイパスパターンを検出するルールが含まれています。
さらに、この検出コンテンツは、悪意のある PowerShell 実行、w3wp.exe(SharePoint ワーカープロセス)によって生成される不審な子プロセス、spinstall0.aspx Web シェルの作成といった SharePoint 固有の指標を含む、侵害後の挙動も対象としています。これらの分析コンテンツにより、セキュリティチームは初期のエクスプロイト試行とその後の攻撃者の挙動の両方を包括的に可視化でき、ToolShell 侵害に対するより迅速な検出と対応が可能になります。分析コンテンツは、https://research.splunk.com/ で確認できます。
関連する既存の BP ルール
Microsoft Exchange Server IIS による悪意のあるプロセスの作成は、WebShell ペイロードの作成時にトリガーされます。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のある活動を検出できます。
Cisco Secure Network/Cloud Analytics(Stealthwatch/Stealthwatch Cloud)は、ネットワークトラフィックを自動的に分析し、接続されているすべてのデバイスで、望ましくない可能性があるアクティビティをユーザーに警告します。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Cisco Secure Access は、ゼロトラストの原則に基づいて構築された、最新のクラウド提供型セキュリティサービスエッジ(SSE)です。Cisco Secure Access はユーザーがどこで作業していても、インターネット、クラウドサービス、プライベート アプリケーションへのシームレスかつ透過的でセキュアなアクセスを提供します。Cisco Secure Access の無料トライアルにご興味をお持ちの場合は、シスコのアカウント担当者または認定パートナーまでお問い合わせください。
Cisco Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duoは、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
この脅威の Snort SID は 65092(脆弱性)、65183(WebShell)です。
本稿は 2025 年 7 月 21 日にTalos Group
Authors