【訳】
SharePointのRCE(リモートコード実行)を理解する:攻撃手法、検出方法、および対策
【図表】
図1: CVE-2025-49704を悪用する悪意のあるASPXファイル
図2: MachineKey値の例
図3: 悪意のある__VIEWSTATEペイロード署名のための__VIEWSTATEGENERATORの取得
出典: https://www.akamai.com/blog/security-research/sharepoint-vulnerability-rce-active-exploitation-detections-mitigations
【要約】
2025年7月に発覚したSharePointの重大な脆弱性「ToolShell(CVE-2025-53770)」は、認証バイパスと逆シリアライズの2段階で構成され、攻撃者が未認証でリモートコード実行可能となるものです。攻撃者は暗号キーを盗み、正規のプロセス内で悪意あるコードを実行するため検知が困難です。Microsoftはパッチを提供済みですが、旧バージョンは未対応で、仮想パッチなどの緩和策が推奨されます。Akamaiなど複数の企業が攻撃を確認しています。
【ブログ】
◆Understand the SharePoint RCE: Exploitations, Detections, and Mitigations (Akamai, 2025/07/22)
[SharePointのRCE(リモートコード実行)を理解する:攻撃手法、検出方法、および対策]
https://www.akamai.com/blog/security-research/sharepoint-vulnerability-rce-active-exploitation-detections-mitigations
【インディケータ情報】
■IPアドレス/ url情報 - -
107.191.58[.]76
104.238.159[.]149
96.9.125[.]147
dynastyjusticecollective[.]site
(以上は Akamai の情報: 引用元は https://www.akamai.com/blog/security-research/sharepoint-vulnerability-rce-active-exploitation-detections-mitigations)
【関連まとめ記事】
◆ToolShell (まとめ)
https://malware-log.hatenablog.com/entry/ToolShell
