btzgrp
  • テスト投稿 - TechRepublic
Headlines

今すぐパッチを適用: SharePoint サーバーが新たな RCE 攻撃の危険にさらされる

05 mins
今すぐパッチを適用: SharePoint サーバーが新たな RCE 攻撃の危険にさらされる

SharePoint に今すぐパッチを適用: Microsoft サーバーが新たなツールシェル RCE 攻撃の危険にさらされる

出版

フィオナ・ジャクソンの画像

攻撃者が脆弱性を悪用した場合、SharePointコンテンツへのフルアクセスを取得し、Outlook、Teams、OneDriveにも侵入する可能性があります。SharePointサーバーを侵害から保護する方法をご確認ください。

Microsoft SharePoint のストック写真。
画像: PhotoGranary/Adobe Stock

Microsoft SharePoint における重大なリモートコード実行(RCE)脆弱性が、現在も活発に悪用されています。攻撃者がこの脆弱性を悪用した場合、SharePoint コンテンツへのフルアクセスを取得し、悪意のあるコードを展開し、Outlook、Teams、OneDrive などの他の Windows サービスにも侵入する可能性があります。

マイクロソフトは7月18日の月例パッチで、ToolShellと呼ばれるエクスプロイトを可能にする2つの脆弱性を修正しましたが、Eye Securityは数十台のシステムがToolShellによって侵害されていることに気付きました。攻撃者が事前の認証なしにリモートコード実行(RCE)攻撃のためにサーバーにファイルを書き込んでいたことが、その兆候でした。また、マイクロソフトのパッチを回避する2つの新たなゼロデイ脆弱性も利用していました。

ToolShell RCE攻撃の仕組み

攻撃者は、悪意のあるペイロード spinstall0.a​​spx を含む HTTP 要求を、オンプレミスの SharePoint Server (バージョン 2016 または 2019) に送信します。この要求は、認証チェックを実行する前にシリアル化されたデータを処理する脆弱なエンドポイント (CVE-2025-53770) をターゲットにしており、攻撃者は有効な資格情報を必要とせずにそれを送信できます。

spinstall0.a​​spx Webシェルは、CVE-2025-53771の脆弱性を悪用し、単純なGETリクエストを使用してSharePointのMachineKey設定(ValidationKeyを含む)を抽出します。攻撃者は、このMachineKey情報とysoserialと呼ばれる特殊なツールを使用することで、認証済みユーザーからのものであるかのように見せかけた__VIEWSTATEペイロードを生成することができます。

これらの有効なペイロードに埋め込まれた悪意のあるコードはサーバーによって受け入れられ、攻撃者がデータを盗み出したり、追加のバックドアをインストールしたり、サイトのコンテンツを変更したりする可能性があります。

ToolShellは、5月にベルリンで開催されたOffensiveConで行われたPwn2Ownハッキングコンテストにおいて、Viettel Cyber​​ SecurityのDinh Ho Anh Khoa氏によって、潜在的なエクスプロイトチェーンとして初めて特定されました。これは後に、ドイツのサイバーセキュリティ企業CODE WHITEによる概念実証で再現されました。

SharePoint サーバーを侵害から保護する方法

  • SharePoint Server サブスクリプション エディションおよび SharePoint Server 2019 用に、Microsoft からの適切な帯域外セキュリティ更新プログラムを展開します。発行時点では、SharePoint Server 2016 用の更新プログラムは提供されていません。
  • /_layouts/15/ToolPane.aspx?DisplayMode=Edit への POST や悪意のある IP アドレス 107.191.58[.]76、104.238.159[.]149、96.9.125[.]147 などの侵害の兆候を監視します。
  • 侵入防止システムと Web アプリケーション ファイアウォールを調整して、シリアル化されたペイロード パターンと偽造された __VIEWSTATE 要求をブロックします。
  • SharePoint 環境内のレイアウトと管理者権限を最小限に抑えます。
  • SharePoint でマルウェア対策スキャン インターフェイス (AMSI) を構成し、すべての SharePoint サービスに Microsoft Defender ウイルス対策を展開します。
  • AMSI が不可能な場合は、適切な緩和策が実施されるまで、パブリック向けサービスをインターネットから切断します。
  • 適切な緩和策が提供されない場合は、製品の使用を中止するか、クラウド サービスに適用される BOD 22-01 ガイダンスに従ってください。

SharePoint サーバーが侵害されたと思われる場合の対処方法

会社の SharePoint サーバーが侵害された疑いがある場合は、次の手順を実行してください。

  • 影響を受ける SharePoint サーバーを分離またはシャットダウンします。
  • spinstall0.a​​spx 経由で公開された可能性のあるすべての資格情報、暗号化マテリアル、およびその他のシステム情報を更新します。
  • サイバーセキュリティチームを雇用し、攻撃者がバックドアなどの手段を使って攻撃を継続していないか確認しましょう。また、過去の侵害指標をスキャンし、ファイアウォールルールや侵入防止システムを更新することも可能です。

Microsoft は 7 月の Patch Tuesday ロールアウトで 137 件の脆弱性を修正しました。ただし、Azure 仮想マシンが起動しない場合は、これらのパッチのいずれかが原因である可能性があります。

記事をシェア
フィオナ・ジャクソンの画像

フィオナ・ジャクソン

フィオナ・ジャクソンは、SWNS通信社でジャーナリズムのキャリアをスタートさせたニュースライターです。その後、広告代理店MailOnline、TechnologyAdviceで勤務しました。ヒューマン・インタレスト・ニュースや消費者向けテクノロジー関連の報道を幅広く手掛け、TechHQ、The Independent、Daily Mail、The Sunといった有名メディアに寄稿しています。

Tagged:

Related News