Metasploit Module Released to Exploit SharePoint 0-Day Vulnerabilities
2025/07/24 gbhackers — Microsoft SharePoint Server の深刻なゼロデイ脆弱性を標的とする、Metasploit エクスプロイト・モジュールを、セキュリティ研究者たちが公開した。この脆弱性は、2025年7月19日時点で、すでに実際の攻撃に悪用されており、SharePoint を取り巻く脅威状況が、著しく悪化していることを示している。公開された Metasploit モジュールは、認証不要のリモートコード実行 (RCE) 脆弱性 CVE-2025-53770/CVE-2025-53771 悪用する、一連の手法を取り込むものである。
技術詳細とエクスプロイトチェーン
Rapid7 のセキュリティ研究者である sfewer-r7 氏は、Metasploit モジュールを開発し、攻撃者が認証を必要とせずに SharePoint の ToolPane コンポーネントを利用してシステムを完全に侵害可能であることを実証した。
| CVE ID | Description | CVSS Score | Affected Components |
| CVE-2025-53770 | SharePoint Server ToolPane Unauthenticated RCE | TBD | SharePoint Server 2019, 2022 |
| CVE-2025-53771 | SharePoint Server ToolPane Authentication Bypass | TBD | SharePoint Server 2019, 2022 |
| CVE-2025-49704 | Original SharePoint Vulnerability (Patched) | TBD | SharePoint Server (Multiple Versions) |
| CVE-2025-49706 | Original SharePoint Vulnerability (Patched) | TBD | SharePoint Server (Multiple Versions) |
すでに修正済みとされていた、2件の脆弱性 CVE-2025-49704/CVE-2025-49706 に対する巧妙な回避手法が、今回のゼロデイ脆弱性 CVE-2025-53770/CVE-2025-53771 であり、Web アプリケーションの防御が、依然として困難であることを浮き彫りにしている。
このエクスプロイトは、単一の HTTP リクエストによるリモートコード実行を可能にする、デシリアライゼーション攻撃ベクターを利用するものだ。技術文書によると、この Metasploit モジュールが対応するものには、 Meterpreter リバースシェルと汎用コマンドの実行に加えて、複数のペイロード配信もあるという。
そのテスト・デモでは、SharePoint Server 2019 環境への侵入に成功し、SYSTEM 権限の取得が可能であることが示された。この攻撃ベクターは、主として “/_layouts/15/ToolPane.aspx” エンドポイントを標的としているが、最近のパッチでは、このパスのブロックが試行されているという。
一部の環境では Forms Based Authentication が有効化されているため、初期偵察の段階で “/_layouts/15/start.aspx” の標的化が必須となる場合もあると、研究者たちは指摘する。しかし、今回の Metasploit モジュールの公開により、SharePoint を標的とする攻撃者にとって、侵入障壁が大きく引き下げられた。
SharePoint Server は、文書管理と業務コラボレーションの基盤として、エンタープライズに広く導入されているため、多数のグローバル組織に対して、これらの脆弱性は深刻な影響を及ぼす。
このエクスプロイトは認証を必要としないため、攻撃者は有効な認証情報やソーシャル・エンジニアリングの手段を用いることなくシステムを侵害できる。
前述のセキュリティ・テストにより、SharePoint Server 2019 のバージョン 16.0.10417.20027 に対して、このモジュールの有効性が確認されているが、影響範囲に関する調査は継続中であるという。
このエクスプロイトにより、任意のコマンド実行および永続的なリモート・アクセスが可能になるため、データ窃取やランサムウェア展開に加えて、ネットワーク内部でのラテラル・ムーブメントも深刻なリスクとなる。
SharePoint 環境を運用する組織が行うべきことは、これらの脆弱性に対する自組織のリスクを評価し、提供されるパッチを速やかに適用することだ。
すでに Microsoft は、CVE-2025-49704/CVE-2025-49706 に対応する更新プログラムを提供しているが、今回のバイパス手法の存在を踏まえると、追加的なセキュリティ対策の導入が必要となるだろう。
最新の脆弱性の亜種もカバーする、包括的なパッチがリリースされるまでの間は、ネットワーク/セグメンテーション/アクセス制御/SharePoint アクティビティに対する、包括的な監視が極めて重要な防衛策となる。
Microsoft SharePoint Server の脆弱性 CVE-2025-53770/CVE-2025-53771 ですが、毎日のように新たな情報が提供されています。認証を必要としない悪用が、すでに始まっているという事実が、このような状況を生み出しているのでしょう。今回の、Metasploit モジュールの公開により、攻撃が一気に広がる可能性も気になります。ご利用のチームは、十分に ご注意ください。よろしければ、CVE-2025-53770 で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.