SharePoint Servers を完全に侵害:ToolShell エクスプロイト・チェーンについて整理する

New “ToolShell” Exploit Chain Attacking SharePoint Servers to Gain Complete Control

2025/07/28 CyberSecurityNews — Microsoft SharePoint Server を標的とする新たな脅威として、ToolShell と呼ばれる高度なエクスプロイト・チェーンが注目を集めている。すでに修正されている脆弱性と、新たなゼロデイ・エクスプロイトを組み合わせる、この多段階の攻撃により、システム全体が侵害されている。その攻撃対象は、SharePoint Enterprise Server 2016/2019 および、SharePoint Server Subscription Edition である。

主なポイント
  1. ToolShell は、4件の SharePoint 脆弱性 (修正済み2件/ゼロデイ2件) を悪用して、システムを完全に制御する。
  2. 高度な Web シェルを展開し、リモート・コマンドの実行と暗号鍵の窃取を行う。
  3. 直ちにパッチを適用し、検知システムを導入することで、アクティブな攻撃をブロックする必要がある。
SharePoint インフラを標的とする脆弱性チェーン

ToolShell 攻撃は、4件の危険な脆弱性を組み合わせて、リモート・コード実行の機能を確立する。脅威アクターたちが悪用しているのは、すでに修正済みの脆弱性 CVE-2025-49704/CVE-2025-49706 と、新たに発見されたゼロデイ脆弱性 CVE-2025-53770/CVE-2025-53771 である。

すでに、米国の CISA も、これらの CVE を KEV カタログに追加しており、この脅威の深刻さを強調している。

攻撃者たちは、単純な curl コマンドと PowerShell コマンドを用いて、標的システムをプローブし、システム情報を抽出する。脅威アクターたちは、高度なペイロードを展開する前に、このプローブ段階において、標的とする環境の詳細を把握する。

通常における攻撃は、”spinstall0.aspx” エンドポイントの悪用から始まるが、それにより脅威アクターたちは、リモート・サーバへのコンフィグ・データのアップロードを達成していく。

Web Shell の展開

このキャンペーンでデプロイされるのは、”GhostWebShell” と “KeySiphon” という、2つの主要な悪意のコンポーネントである。

GhostWebShell は、高度な ASP.NET Web シェルであり、永続的なリモート・アクセス用に設計されている。

この Web シェルには、?cmd= パラメータを公開するための、Base64 エンコードされた ASP.NET ページが埋め込まれている。それにより攻撃者は、cmd.exe /c <command> 構文を用いて任意のシステム・コマンドを実行できる。

このシェルは、高度な回避技術を実装しており、Reflection を用いて内部の BuildManager フラグを一時的に変更し、プリコンパイル・チェックを回避している。

さらに、ファイルレス操作を実現するために、脅威アクターたちはカスタム VirtualPathProvider を登録している。それにより、たとえば /_layouts/15/ghostfile<乱数>.aspx のような正当な SharePoint パスの下に、悪意のページをメモリから挿入する。

このコマンドの実行後に、このシェルは、元の BuildManager フラグを復元して、検出痕跡を最小化している。

KeySiphon によるシステム情報の収集

KeySiphon は、システム情報を包括的に収集する偵察ツールである。具体的に言うと、論理ドライブ構成/マシンスペック/CPU コア数/システム稼働時間/OS の詳細情報などが収集される。

ToolShell Exploit Chain SharePoint Servers
 Collecting system information

KeySiphon が System.Web 名前空間を利用し、MachineKeySection.GetApplicationConfig() を呼び出すことで、アプリケーションの検証キーと復号キーを抽出ことが、特に懸念される点である。この行為により、暗号化された秘密情報が流出し、認証トークンの偽造や、ViewState の操作が可能になる。

推奨対策

ユーザー組織にとって必要なことは、提供されているパッチの、速やかな適用である。それに加えて、ネットワーク監視/エンドポイント防御/ログ分析などを統合する、多層的な検出戦略の実装も求められる。

これらの脆弱性は、急速に武器化され始めているため、セキュリティ・チームが優先すべきは SharePoint インフラの強化となる。潜在的な侵害の試行を阻止するための、アクセス制御の導入を検討する必要がある。

IOC

IP アドレス

  • 157[.]245[.]126[.]186
  • 159[.]203[.]88[.]182
  • 146[.]190[.]224[.]250
  • 203[.]160[.]80[.]77
  • 203[.]160[.]86[.]111
  • 205[.]198[.]84[.]197
  • 159[.]89[.]10[.]213
  • 165[.]232[.]162[.]99
  • 185[.]169[.]0[.]111
  • 146[.]70[.]41[.]178
  • 165[.]154[.]196[.]91

ファイル・ハッシュ

  • 10e01ce96889c7b4366cfa1e7d99759e4e2b6e5dfe378087d9e836b7278abfb6
  • 7e3fff35ef909c556bdf6d9a63f0403718bf09fecf4e03037238176e86cf4e98
  • 0548fad567c22ccf19031671f7ec1f53b735abf93dc11245bc9ea4dfd463fe40
  • 3adbebbc2093615bb9210bfdb8ebb0841c62426bee8820f86ff0a64d15206041

SharePoint Server に存在する複数の脆弱性が、適切に防御されていなかったことで、随所で攻撃が発生しているようです。ゼロデイ2件と既知の脆弱性2件が組み合わさることで、攻撃者によるシステム全体の制御が可能な状況になっていました。それを ToolShell と呼んでいるようです。この記事には、オリジナル・ソースが無いようなので、おそらく CyberSecurityNews が状況を整理してくれたのだと思います。よろしければ、ToolShell で検索も、ご参照ください。