中国複数グループが「ToolShell」攻撃を展開 - 攻撃拡大に懸念

マイクロソフトは、「SharePoint Server」に深刻なゼロデイ脆弱性「CVE-2025-53770」が見つかった問題で、中国政府より支援を受けた攻撃者によって悪用されているとして注意を呼びかけた。

同社では7月の月例セキュリティ更新で、リモートよりコードを実行できるコードインジェクションの脆弱性「CVE-2025-49704」や、認証のバイパスが可能となる「CVE-2025-49706」へ対処していたが、修正が不十分だったため脆弱性が残存し、悪用されていることが判明している。

具体的に見ると、「CVE-2025-53770」は信頼できないデータをデシリアライズする脆弱性で、権限を必要とすることなくリモートよりコードを実行することが可能。「CVE-2025-49704」と関連し、一部では一連の攻撃が別名「ToolShell」と呼ばれている。

「CVE-2025-49706」と関連する「CVE-2025-53771」は、パストラバーサルの脆弱性。共通脆弱性評価システム「CVSSv3.1」のベーススコアはそれぞれ「9.8」「6.5」と評価されている。「CVE-2025-53771」は当初「7.1」とされたが、その後引き下げられた。

これら脆弱性を組み合わせることで、認証を必要とすることなく「SharePoint」の「ToolPane」エンドポイントを標的にした「POSTリクエスト」を用い、侵害が可能となる。侵害後にウェブシェルなどを設置する攻撃が確認されているという。

マイクロソフトは、中国が関与する攻撃グループ「Linen Typhoon」「Violet Typhoon」が、インターネットに公開されている運用環境を対象に、攻撃を展開していたことを確認していると説明。また攻撃グループ「Storm-2603」もこれら脆弱性を悪用していることを確認した。

（Security NEXT - 2025/07/24 ）ツイート