Microsoft：中国の州のハッカーは、ステルス攻撃のSharePointの欠陥をターゲットにしています

中国の国家同盟の脅威関係者は、MicrosoftのオンプレミスSharePoint Serverの重要な脆弱性を積極的に活用しており、資格のないリモートコードの実行と永続的なアクセスを可能にする洗練された攻撃を世界中にターゲットにしています。

Microsoftはパッチをリリースし、即時のアクションを促しました。

搾取キャンペーンMicrosoftが追跡CVE-2025-49706、スプーフィング欠陥、およびリモートコード実行（RCE）を可能にするCVE-2025-49704の2つの主要な脆弱性が含まれます。これらの問題は、現在CVE-2025-53770およびCVE-2025-53771として追跡されているエクスプロイトチェーンの一部を形成します。「ツールシェル」と呼ばれます。脆弱性は、オンプレミスのSharePoint Serverバージョンのみ、つまり2016、2019、およびサブスクリプションエディションのみに影響し、Microsoft 365のSharePoint Onlineは影響を受けません。

中国のaptsによる搾取

Microsoft Threat Intelligenceは、キャンペーンを3つの中国に拠点を置くグループに帰します。

ラインタイプン：2012年以来、既知のスパイ行為者がアクティブで、政府、防衛、戦略組織を標的にしています。
バイオレット台風：2015年以来運営されているこのグループは、特に米国、ヨーロッパ、東アジアで、NGO、シンクタンク、および公共部門のエンティティをターゲットにしています。
ストーム-2603：以前はランサムウェアの展開に関連している中国に拠点を置いていると考えられていない、あまり理解されていない俳優は、現在は暗号化材料を抽出するためにSharePointの欠陥を活用しています。

初期アクセスは、Toolpaneのエンドポイントへの作成された郵便リクエストを通じて得られ、Referer Headerを/_layouts/signout.aspxにスプーフィングすることにより認証をバイパスします。これは、今年初めにPWN2Own Berlinで最初に実証され、7月中旬までに野生で武器化されたトリックです。中に入ると、攻撃者は悪意のあるWebシェルファイル、Spinstall0.aspx、およびそのバリアントをSharePoint Serverのレイアウトディレクトリに直接展開します。

このスクリプトにより、敵はASP.NET MachineKey値を抽出し、有効な__ViewStateペイロードの鍛造と悪意のあるリクエストの署名を可能にし、キーが回転していない限り、パッチ後でさえも持続的なアクセスを効果的に付与します。

ツールシェルエクスプロイトチェーンは、複数の脆弱性を乱用して、認定されていない攻撃者を次のように許可します。

任意のファイルをサーバーにアップロードします
PowerShellスクリプトをリモートで実行します
セッション検証に使用される暗号化キーを収穫します
検出されないWebシェルを展開して操作します
内部シェアポイントデータを除去します

ペイロード配信は、IISワーカープロセスであるw3wp.exeを介してドロップされたPowerShellスクリプトを介して行われます。脅威アクターは、C34718CBB4C6.NGROK-FREE [。] APP/file.ps1などのトンネルを使用して、さらなるペイロードを取得しています。

防衛の推奨事項

Microsoft SharePoint Serverは、政府、ヘルスケア、財務などのセクター全体でグローバルに使用される大手企業コラボレーションおよびドキュメント管理プラットフォームです。多くの組織がSharePoint Onlineに移動していますが、かなりの部分は依然としてONPREMの展開に依存しており、多くの場合、リモートの従業員アクセスのためにインターネットにさらされ、それらをプライムターゲットにしています。

SharePointの広範な使用と搾取の洗練を考えると、7月18日には大量の搾取が観察され、数十の積極的な妥協案が確認されました。

マイクロソフト発行された緊急セキュリティアップデート7月19〜21日のSharePoint Serverのすべてのサポートされているバージョンについて、欠陥に完全に対処します。また、Microsoft Defender XDRおよびMicrosoft Sentinelプラットフォームを介して、検出ロジック、高度なハンティングクエリ、および妥協の指標（IOC）を公開しました。

同社は、AMSI（アンチマルウェアスキャンインターフェイス）が、特にフルモードで、認定されていないエクスプロイトパスを検出およびブロックするために不可欠であることを確認しました。顧客はまた、盗まれた暗号化資料を無効にするために、アップデート後のMachineKey値を回転させる必要があります。

オンプレミスのSharePointサーバーを使用する組織は、次のように強くお勧めします。

2025年7月のセキュリティアップデートをすぐに適用します（CVE-2025-53770、CVE-2025-53771）
AMSI統合を有効にして、Microsoft Defender Antivirusまたは同等のツールを展開する
PowerShellまたはCentral Adminを使用してASP.NET MachineKey値を回転させます
パッチングとキーの回転後にIISを再起動します
緩和が完了するまで、インターネットに曝露したSharePointサーバーを分離します
EndPointのMicrosoft Defenderを展開して、露出後の動作を検出します

中国のaptsによる搾取

防衛の推奨事項

Related Posts

CISA：野生で積極的に活用された新しい太陽光発電の脆弱性

PWN2OWN AUTOMOTIVEは、初日に382,000ドルの賞金で開催されます

Neiman Marcusは、何百万人もの顧客に影響を与えるデータ侵害に苦しんでいます

LYCA Mobileはサイバー攻撃を確認し、データリークの可能性を示唆しています

積極的な搾取の中でGoogle Chromeでパッチを当てた新しいゼロデイの脆弱性

Googleがテキサスに支払うために13億7,500万ドルの画期的なプライバシー決済