🛡 概要
最近、Microsoft SharePointのToolShell脆弱性(CVE-2025-53770)が悪用され、政府機関や大学、通信事業者、金融機関を含む多くの組織が攻撃を受けました。この脆弱性は、オンプレミスのSharePointサーバーに影響を及ぼし、2023年7月20日にゼロデイとして公開されました。攻撃者は中国に関連するハッカーグループであり、緊急のセキュリティアップデートが翌日にリリースされました。
🔍 技術詳細
ToolShell脆弱性は、CVE-2025-49706およびCVE-2025-49704のバイパスを可能にし、認証なしでリモートからコードを実行し、ファイルシステムへの完全アクセスを提供します。Viettel Cyber Securityの研究者によって、Pwn2Own Berlinのハッキングコンペティションでこれらの脆弱性が示されました。攻撃者は、悪用を通じて、ウェブシェルを設置し、持続的なアクセスを確保しました。また、GoベースのバックドアであるZingdoorをDLLサイドローディングし、システム情報の収集やファイル操作、リモートコマンドの実行を行いました。さらに、ShadowPadトロイの木馬やRustベースのKrustyLoaderツールも使用されました。
⚠ 影響
この攻撃により、特に中東、南米、アメリカ、アフリカの多くの組織が影響を受けました。具体的には、通信サービスプロバイダー、政府機関、大学、金融会社が標的となりました。攻撃者は、正当なTrend MicroやBitDefenderの実行ファイルを使用してサイドローディングを行い、また、Symantecの名前に似たファイルを利用しました。これにより、資格情報のダンプやドメインの侵害が行われ、攻撃の範囲が広がりました。
🛠 対策
組織は、SharePointサーバーのセキュリティパッチを即座に適用することが重要です。また、攻撃を防ぐために、認証情報の管理や定期的なシステム監査を実施するべきです。特に、ToolShell脆弱性に関連するサイドローディング手法に対しては、実行ファイルの整合性を確認することが必要です。さらに、悪意のあるコードの検出を強化するため、最新のセキュリティソフトウェアを導入することが推奨されます。これにより、将来的な攻撃リスクを低減することができます。
