Security NEWS TOPに戻る
バックナンバー TOPに戻る
Microsoft SharePointを運用する企業が見過ごせない脆弱性が今月、相次いで公開されました。7月14日に累積パッチで修正されたCVE-2025-53770とCVE-2025-53771は、ViewStateキー生成処理の競合状態を突いて、認証なしのリモートコード実行(RCE)をするクリティカルな脆弱性です。さらに、6月に報告済みのASPXテンプレート挿入系脆弱性CVE-2025-49704/49706を組み合わせた「TOOLSHELL」攻撃チェーンが現実化し、Unit 42とEye Securityは侵入後にPowerShell WebShellが配置される事例を確認しています。本稿では影響範囲と優先すべき対策を解説します。
お問い合わせ
お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。
なぜCVE-2025-53770が危険なのか
問題の本質は、SharePointが__VIEWSTATEを検証する際に用いるValidationKeyの競合状態にあります。攻撃者は未認証のまま細工したViewStateを送信し、LosFormatterのデシリアライズ処理を経由して任意コードを実行できます。Microsoftは「7月パッチ以前の修正は十分ではなく、今回の累積更新で初めて完全な防御が可能になる」と明言しました。
「TOOLSHELL」攻撃チェーンが示す実戦的リスク
Eye Securityが命名した「TOOLSHELL」攻撃では、まずCVE-2025-49706がRefererヘッダーを悪用してToolPane.aspxへ非認証アクセスを可能にし、続いてCVE-2025-49704がデシリアライズ経路を開きます。ここにCVE-2025-53770とCVE-2025-53771が結合すると、防御側が認証やCSRFトークンに依存していた場合でもRCEが成立します。侵入後はPowerShellでWebShell(spinstall0.aspxなど)が配置され、MachineKeyを窃取して永続化を図る点が確認されています。
CISAの緊急指令と企業が取るべきステップ
米国CISAは53770をKnown Exploited Vulnerabilitiesカタログに追加し、7月31日までのパッチ適用を連邦機関に義務付けました。官民問わず、以下のようなステップで対策を進めましょう。
- SharePoint Server 2016/2019/Subscription Editionで最新の7月累積パッチを適用
- 適用後にMachineKey(ValidationKey/DecryptionKey)を再生成し、漏えい済みの署名を無効化
- Microsoft Defender AntivirusとのAMSI統合と「ViewState暗号キー管理」機能を有効化し、未署名ViewStateの読み込みを防ぐ
- 管理ポートや/_layouts/配下を外部公開している場合は即時閉鎖し、Web Application FirewallやHIPSでUploadFilterを強制
残る課題―公開PoCと横展開
GitHub上には既に53770の概念実証コードが複数公開されており、Rapid7も実環境での悪用を観測したと報告しました。パッチを当ててもMachineKeyのローテーションを怠れば、攻撃者は署名済みの__VIEWSTATEを再利用して“再侵入”できます。特にTeamsやOneDriveと連携したハイブリッド環境では、SharePointから取得した認証トークンが横展開に利用されかねません。
まとめ
サイト運営者は最新パッチ情報を迅速に発信しつつ、自社環境の防御態勢を見直す必要があります。累積更新プログラムの適用とキー再生成を完了して初めて、SharePointは安全な状態に戻ります。多くの組織が抱えるオンプレミスSharePointは依然として攻撃者にとって魅力的な標的であり、今回の一連のゼロデイは“パッチ管理とキー運用の両立”という運用課題を改めて突きつけたといえるでしょう。
【参考情報】
Security NEWS TOPに戻る
バックナンバー TOPに戻る
ウェビナー開催のお知らせ
「企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-」
「EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー」
最新情報はこちら
