中国複数グループが「ToolShell」攻撃を展開 - 攻撃拡大に懸念
マイクロソフトは、「SharePoint Server」に深刻なゼロデイ脆弱性「CVE-2025-53770」が見つかった問題で、中国政府より支援を受けた攻撃者によって悪用されているとして注意を呼びかけた。
同社では7月の月例セキュリティ更新で、リモートよりコードを実行できるコードインジェクションの脆弱性「CVE-2025-49704」や、認証のバイパスが可能となる「CVE-2025-49706」へ対処していたが、修正が不十分だったため脆弱性が残存し、悪用されていることが判明している。
具体的に見ると、「CVE-2025-53770」は信頼できないデータをデシリアライズする脆弱性で、権限を必要とすることなくリモートよりコードを実行することが可能。「CVE-2025-49704」と関連し、一部では一連の攻撃が別名「ToolShell」と呼ばれている。
「CVE-2025-49706」と関連する「CVE-2025-53771」は、パストラバーサルの脆弱性。共通脆弱性評価システム「CVSSv3.1」のベーススコアはそれぞれ「9.8」「6.5」と評価されている。「CVE-2025-53771」は当初「7.1」とされたが、その後引き下げられた。
これら脆弱性を組み合わせることで、認証を必要とすることなく「SharePoint」の「ToolPane」エンドポイントを標的にした「POSTリクエスト」を用い、侵害が可能となる。侵害後にウェブシェルなどを設置する攻撃が確認されているという。
マイクロソフトは、中国が関与する攻撃グループ「Linen Typhoon」「Violet Typhoon」が、インターネットに公開されている運用環境を対象に、攻撃を展開していたことを確認していると説明。また攻撃グループ「Storm-2603」もこれら脆弱性を悪用していることを確認した。
(Security NEXT - 2025/07/24 )
ツイート
PR
関連記事
SonicWall「SMA 100」にバックドア、ゼロデイ攻撃か - 侵害調査の実施を
SonicWall「SMA 100」に脆弱性 - Googleが報告した攻撃との関連不明
マルチパートフォームデータを生成するnpmパッケージに脆弱性
「Chrome」のスクリプトエンジンに複数脆弱性 - アップデート公開
「CrushFTP」脆弱性、すでに被害も - 開示過程でトラブル
「SharePoint」「FortiWeb」の脆弱性悪用に警告 - 即日対応の緊急要請も
「Sophos Firewall」に複数の「クリティカル」脆弱性 - 対象機器は1%未満
「SharePoint Server」に深刻な脆弱性「ToolShell」 - すでに悪用も
セキュリティ管理ツール「Juniper Security Director」に脆弱性
「Java SE」にアップデート - 脆弱性11件を解消