Microsoftは、Microsoft SharePointに影響を与える2つのゼロデイの脆弱性、CVE-2025-53770およびCVE-2025-53771の緊急のセキュリティパッチを発行しました。これらの欠陥は、世界的に「ツールシェル」攻撃で積極的に活用されており、54を超える組織に影響を与えています。
7月のパッチの火曜日の更新でリリースされた脅威アクターが修正をバイパスした後、脆弱性は現れました。これらの初期更新は、5月のベルリンで開催されたPWN2Ownコンテストで最初に実証されたMicrosoft SharePointでのリモートコード実行を可能にする「ツールシェル」ゼロデイの脆弱性チェーンに対処することを目的としています。
Microsoftは、CVE-2025-53770およびCVE-2025-53771を緩和するために、Microsoft SharePoint Subscription EditionおよびSharePoint 2019の帯域外セキュリティアップデートをすぐにリリースしました。同社は、これらの新しい更新が、それぞれCVE-2025-49704およびCVE-2025-49706の以前の修正と比較して「より堅牢な保護」を提供することを確認しました。 Microsoft SharePoint Enterprise Server 2016のアップデートはまだ保留中です。
SharePoint管理者は、これらの重要な更新をすぐにインストールすることを強くお勧めします:Microsoft SharePoint Server 2019のKB5002754およびMicrosoft SharePointサブスクリプションエディションのKB5002768。
パッチを適用するだけでなく、Microsoftは管理者にSharePointマシンキーを回転させるよう促します。これは、PowerShellを使用して手動で実行できます Update-SPMachineKey 「マシンキーローテーションジョブ」タイマージョブをトリガーすることにより、CMDLETまたは中央管理者を介して。回転後、IISがリセットされます(iisreset.exe)すべてのSharePointサーバーで推奨されます。
また、管理者は、妥協または搾取の試みの兆候について、ログとファイルシステムの徹底的な分析を実施する必要があります。重要なインジケータには、ファイルの作成が含まれます C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTSspinstall0.aspx、およびIISログは、ポストリクエストを表示します _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx のhttpリファラー付き _layouts/SignOut.aspx。
MicrosoftはMicrosoft 365ディフェンダークエリを提供して、 spinstall0.aspx ファイル:
DeviceFileEvents
| where FolderPath has "MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
このファイルが見つかった場合、影響を受けるサーバーとネットワークの包括的な調査が重要であり、脅威アクターが他のデバイスへのアクセスを拡大していないことを確認します。
