Tenable シェアポイントのサイバーインシデントは、認証なしでアクセスをトリガーできることを思い出させることができます

ジャカルタ - 世界中の何千ものMicrosoft SharePointサーバーが、先週末に発生した大規模なサイバーセキュリティインシデントで積極的な悪用の標的になったと報告されています。

最初のレポートは、7月19日にアイセキュリティ研究者 チームから提供され、以前はツールシェルと呼ばれるツールにリンクされていた SharePoint の 2 つのセキュリティ抜け穴が悪用されていることを発見しました。

CVE-2025-53770 と呼ばれるこのエクスプロイトは、脆弱な SharePoint サーバーの MachineKey 構成の詳細をうまく公開し、最終的には認証なしでリモートでコードを実行することができました。

この事件を受けて、TenableのスタッフリサーチエンジニアであるSatnam Narang氏は、週末のゼロデイ SharePoint脆弱性の積極的な悪用は、影響を受ける組織に幅広い影響を与えると述べた。

彼によると、攻撃者は、現在CVE-2025-53770として識別されているセキュリティギャップを悪用して、検証Keyと復号化Keyを含む脆弱な共有ポイントサーバーからMachineKey構成の詳細を盗みました。

彼は、盗まれた構成情報は、認証なしでリモートコードエクステレーション(RCE)を可能にする悪意のある要求を形成するために使用できると主張しました。

「この詳細は、攻撃者が特定の要求を行うために使用でき、認証なしでリモートコードの実行を取得することができます」とSatnamは7月22日火曜日にVOIが受け取った声明で述べました。

Satnamはまた、組織はサーバー上のspware0.aspxと呼ばれる疑わしいファイルの所在を検索することによって潜在的なエクスプロイトを検出できると説明しましたが、そのファイルは別の拡張機能を使用できます。

彼は、この脆弱性の攻撃対象領域が比較的広く、9,000を超える検出済み共有ポイントサーバーが外部からアクセス可能であることを否定しました。それらの多くは、政府機関、教育機関、大企業によって使用されています。

「潜在的な侵入を特定するために、インシデント対応の調査を開始するよう組織に強くお勧めします。それ以外の場合は、利用可能なパッチを実行し、Microsoftが提供する緩和指示を確認してください」と彼は言いました。