GoogleのMandiantは、China-Nexusハッキンググループを、重要なMicrosoft SharePointの脆弱性を活用するグローバル攻撃の初期波にリンクしています。 「ツールシェル」(CVE-2025-53770)と呼ばれるエクスプロイトチェーンにより、攻撃者は認証をバイパスし、脆弱なオンプレミスサーバーでコードを実行できます。 Microsoftは、1日前に緊急セキュリティパッチをリリースし、放射性降下物を封じ込めようと急いでいました。現在公開されている概念の証明のエクスプロイトにより、未収の組織のリスクは劇的にエスカレートしています。声明の中で、Google CloudのMandiant ConsultingのCTOであるCharles Carmakal、

しかし、状況はもはや単一の高度なアクターに含まれていません。カルマカルは、エクスプロイトが他の人に採用されていると警告し、「この傾向は、多様な動機によって駆動される他のさまざまな脅威アクターがこのエクスプロイトを活用するため、この傾向が継続することを完全に予想しています」と付け加えました。これは、より日和的な攻撃者が攻撃する前に、組織がマイクロソフトの最新のパッチを適用する緊急の必要性を強調しています。それは欠陥の直接的なバリアントです( cve-2025-49706

攻撃者は、新しいエクスプロイトを設計するために「パッチディフング」を実行した可能性があります。この手法では、パッチ前コードとパッチ後のコードを法医学的に比較して、開発者が行った正確な変更を特定します。修正を理解することで、同じ結果を達成する代替コードパスを狩ることができます。

エクスプロイトは7月7日に早期に開始される場合があります。この以前のタイムラインは、攻撃者が脆弱性の詳細について高度な知識を持っていたことを示唆しています。おそらく元の欠陥がパッチされた前に。

攻撃自体はステルスで非常に効果的です。目のセキュリティからの研究によると、キャンペーンを最初に検出しました、攻撃者は、複雑なサーバーにspinstall0.aspxという名前のファイルを植えます。これは、幅広いコントロールのために設計された典型的なバックドアではありません。

Eye Securityの研究チームが指摘したように、「これは典型的なWebシェルではありませんでした。インタラクティブなコマンド、リバースシェル、コマンドアンドコントロールロジックはありませんでした。」その唯一のターゲットを絞った目的は、サーバーの暗号化機械キーを除去することです。これらのキーは、SharePoint Farmの州管理のマスター資格情報であり、セッションデータの検証と復号化に使用されます。

これらのキーを盗むことは、単純なWebシェルよりもはるかに持続的で危険なアクセスの形式を提供します。 Eye Securityが警告するように、「これらのキーにより、サーバーがパッチを適用した後でも、攻撃者はユーザーやサービスになりすまします。そのため、単独でパッチを適用しても問題は解決しません。」これにより、単に悪意のあるファイルを削除するよりも、修復がはるかに複雑になります。

Microsoftは、CISAが指令を発行するため、パッチを発行するため、マイクロソフトがパッチをラッシュします。同社は管理者に、アンチマルウェアスキャンインターフェイス(AMSI)と 7月21日にgithubの概念実証(POC)エクスプロイト。このコードは、スクリプトキッドからランサムウェアギャングまで、はるかに広い範囲の悪意のあるアクターがアクセスできる洗練された「ツールシェル」攻撃を行います。 Rapid7やBitdefenderなどのセキュリティ会社は、独自の技術的アドバイザリーを発行し、顧客にすぐにパッチを適用するよう促しています。 2024年後半の他の重要なエクスプロイトを含む以前のSharePointセキュリティの危機を繰り返します。独自のサーバーを管理する組織の場合、絶え間ない警戒と迅速なパッチングは重要な防御のままです。

Categories: IT Info