Microsoftは7月22日(米国時間)、「Disrupting active exploitation of on-premises SharePoint vulnerabilities|Microsoft Security Blog」において、オンプレミス環境のSharePointサーバに影響する複数の脆弱性を修正したと発表した。

同社は中国の国家支援を受けているとみられる脅威グループ「Linen Typhoon」および「Violet Typhoon」と、中国を拠点とする脅威グループ「Storm-2603」がこれら脆弱性を悪用していることを確認したとして注意を喚起している。

  • Disrupting active exploitation of on-premises SharePoint vulnerabilities|Microsoft Security Blog

    Disrupting active exploitation of on-premises SharePoint vulnerabilities|Microsoft Security Blog

脆弱性に関する情報

修正対象の脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-49704 - コードインジェクションの脆弱性。権限を不正に持った攻撃者が、遠隔からコードを実行できる可能性がある(CVSSスコア: 8.8)
  • CVE-2025-49706 - 不適切な認証の脆弱性。認証されていない攻撃者がネットワーク経由でスプーフィング(なりすまし)できる可能性がある(CVSSスコア: 6.5)
  • CVE-2025-53770 - 信頼できないデータのデシリアライズの脆弱性。認証されていない攻撃者が遠隔からコードを実行できる可能性がある(CVSSスコア: 9.8)
  • CVE-2025-53771 - パストラバーサルの脆弱性。認証されていない攻撃者が遠隔からネットワーク経由でスプーフィングできる可能性がある(CVSSスコア: 6.5)

サポート対象の製品

脆弱性を修正したサポート対象となる製品は次のとおり。

  • Microsoft SharePoint Server 2016
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server サブスクリプションエディション

影響と対策

Microsoftの調査によると、攻撃者はこれら脆弱性を悪用して認証をバイパスし、リモートコードを実行したという。一連の攻撃に成功した環境からはWebシェルが発見されており、永続的な侵入経路を確保される可能性がある。

影響を受けるSharePointサーバを運用している管理者には、公式ガイダンス「Disrupting active exploitation of on-premises SharePoint vulnerabilities | Microsoft Security Blog」に従ってアップデートおよび構成を確認することが推奨されている。

また、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)が公開されており、これら情報を活用してすでに侵害されているか調査することが望まれている。なお、対象の脆弱性はオンプレミス環境のSharePointサーバにのみ影響し、Microsoft 365のSharePoint Onlineには影響しない。