SharePointの深刻な脆弱性「CVE-2025-53770」にPoCが公開される：セキュリティニュースアラート

SharePointの脆弱性CVE-2025-53770に関するPoCツールが公開され、不安全なデシリアライズによりリモートコード実行が可能となる。組織は早急なパッチ適用が推奨される。

[後藤大地，有限会社オングス]

　「GitHub」において「Microsoft SharePoint」（以下、SharePoint）の脆弱（ぜいじゃく）性「CVE-2025-53770」に関するPoC（概念実証）ツールが公開された。SharePointの「ToolPane.aspx」エンドポイントを利用し、認証済みユーザーによるリモートコード実行を可能とするツールが公開されており、過去に実際の攻撃で確認されている手法と重なる技術的要素を含んでいる。

GitHubにPoC公開、SharePoint環境に即時対応を

　脆弱性はSharePointにおける「WebPart」の構成要素コンポーネント「Scorecard:ExcelDataSet」に内在している。「CompressedDataTable」プロパティへの不適切な入力処理により、GZIP圧縮かつBase64エンコードのシリアライズオブジェクトが、そのまま「LosFormatter」や「BinaryFormatter」を通じて復元される。この不安全なデシリアライズが任意コードの実行につながる。

　攻撃は「/layouts/15/ToolPane.aspx?DisplayMode=Edit」へのPOSTリクエストを介して実行される。「MSOTlPn_DWP」パラメーターに注入した細工済みのWebPartは、内部に任意の.NETオブジェクトを含む「Scorecard:ExcelDataSet」を埋め込んでいる。SharePointはこれを復元・展開し、攻撃者が準備したコードを実行してしまう構造となっている。

　PoCの攻撃手法は2025年7月19日（現地時間）にEye Securityが報告したゼロデイ攻撃とも関連が深い。同一の脆弱性（CVE-2025-53770およびCVE-2025-53771）を含む攻撃チェーンが、グローバルな範囲で観測されており、複数の環境において実際の侵害が発生している。攻撃には「ToolShell」と呼ばれる手法が使われ、署名偽造やトークン生成の起点として、SharePointからの暗号鍵抽出が実行されていた。

　Microsoftは当初、2025年7月の月例パッチで「CVE-2025-49704」「CVE-2025-49706」への修正を提供していたが、その後に確認されている変種に対応するため、新しいCVE番号「CVE-2025-53770」「CVE-2025-53771」を割り当て、修正を強化した。攻撃の発端はPoCレベルと見なされていたが、Eye Securityの報告によれば、既に武器化され、認証を回避する形での侵入も観測されていた。

　PoCを使ったツールは教育目的とセキュリティテストとして公開されているが、その内容は既知の攻撃手法と整合しており、実際に悪用されるリスクがある。SharePointを運用している組織は、修正パッチの早急な適用が推奨される。