更新:2025年7月21日、10:12 CEST – Microsoftは、CVE-2025-53770の重要なSharePointの脆弱性に対処するためにセキュリティアップデートをリリースしました。 更新されたガイダンス 2019 。 SharePoint 2016のアップデートはまだ開発中です。 Microsoftは、サポートされているバージョンの顧客に、システムを保護するために関連する更新をすぐに適用するよう促します。
Microsoftは、CVE-2025-53770およびCVE-2025-53777によってもたらされるリスクに対して、SharePoint Subscription EditionとSharePoint 2019を使用して顧客を完全に保護するセキュリティアップデートをリリースしました。これらの脆弱性は、オンプレミスのSharePointサーバーのみに適用されます。顧客は申請する必要があります…
MicrosoftのSharePoint Serverがhadをexploadにexploadにexploidted by a a apploided by a a a apploided by hackersで、マイクロソフトのSharePoint Serverが競争しています。 CVE-2025-53770と特定された欠陥は、すでに米国の連邦および州の機関、大学、および企業を侵害しています。攻撃は7月18日頃に始まり、サイバーセキュリティの役人からの緊急の対応を促しました。 Microsoftは緩和ガイダンス脆弱性により、認定されていないリモートコード実行が可能になり、数万のサーバーが危険にさらされます。
これにより、攻撃者は背景をインストールして暗号キーを盗み、完全な制御を許可します。欠陥は、SharePoint Server 2016、2019、およびサブスクリプションエディションに影響を与えます。 Microsoftは、SharePointのオンライン顧客がこの脆弱性の影響を受けていないことを確認しています。
グローバルキャンペーンは、サーバーキーを盗むために未満の欠陥を悪用します
進行中のキャンペーンは典型的なマルウェアの展開ではありません。代わりに、攻撃者はステルスなアプローチを使用して永続的な制御を獲得します。積極的な搾取を最初に検出したセキュリティ会社の目のセキュリティは、攻撃者が spinstall0.aspxを植えることであると報告しました。これらのキーは、セッションデータを検証および復号化するためにサーバーが使用する重要な秘密です。目のセキュリティが述べたように、「これはあなたの典型的なウェブシェルではありませんでした。インタラクティブコマンド、リバースシェル、コマンドアンドコントロールロジックはありませんでした。」これにより、有効な「__ViewState」ペイロードを生成することができ、セキュリティ研究者が詳述したように、認証された要求を潜在的なリモートコード実行ベクトルに変換できます。目のセキュリティは、「これらのキーにより、サーバーがパッチを適用した後でも、攻撃者がユーザーやサービスになりすましていることを可能にします。そのため、パッチを適用しても問題は解決しません…」と警告し、即時かつ徹底的な修復の必要性を強調しています。開示された欠陥、CVE-2025-49706。その脆弱性は、2025年5月のPWN2Ownコンテストで実証された「Toolshell」と呼ばれる攻撃チェーンの一部でした。 href=”https://www.helpnetsecurity.com/2025/07/20/microsoft-sharepoint-servers-under-atcack-via-zero-day-vulnerability
このゼロデイが出現した速度は特に懸念されます。 Microsoftが最初の「ツールシェル」の欠陥にパッチを当てた後、脅威アクターは「パッチ拡散」分析を実行した可能性があります。この一般的な手法では、パッチ前とパッチ後のコードを比較して、開発者が行った正確な変更を特定します。
修正を識別することにより、攻撃者は同じ結果を達成する代替コードパスまたはロジック欠陥を検索し、パッチを効果的にバイパスできます。この迅速な兵器化は、エンタープライズソフトウェアをターゲットにしたグループの洗練された性質を強調しています。
この事件は、オンプレミスのインフラストラクチャを管理する組織が直面しているセキュリティ上の課題の厳しいリマインダーとして機能します。 2024年後半に以前のSharePointのエクスプロイトで見られるように、定期的なパッチングがあっても、決定された攻撃者は複雑なシステムで新しいギャップを見つけて活用できます。 href=”https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/”ターゲット=”_ blank”>公開された緊急顧客ガイダンス。パッチはまだ準備ができていないため、当社は管理者に即時の防御措置を講じるようアドバイスしています。主要な防御は、アンチマルウェアスキャンインターフェイス(AMSI)を可能にすることです。
これは、スクリプト実行へのリアルタイムの可視性を提供するため重要です。 Microsoft DefenderのようなAMSI対応ウイルス対策溶液は、SharePointによって処理される前にリクエストの内容を検査し、エクスプロイトをブロックできます。ただし、これはすでに混在しているシステムには十分ではありません。
Microsoftは、ASP.NETマシンキーを回転させることは重要な第2段階であることを強調しています。この手順は、新しい暗号化キーを生成し、古いキーを無効にし、既に盗まれた攻撃者を効果的にロックします。キーローテーションの後、新しいキーがロードされるようにするためにIISサービスの完全な再起動が必要です。 href=”https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-releases-exploitation-exploitation-exploitation-sharepoint-vulnerability-cve-2025-53770″”ターゲット=”機関は、2025年7月21日までにすべての連邦民間機関がマイクロソフトの緩和を適用することを要求し、脅威の重大度を示す指令を発行しました。表面。