【要点】

◎CVE-2025-53770 と CVE-2025-53771 を組み合わせると、ToolShell 攻撃が可能
◎CVE-2025-53770 は CVE-2025-49704 の亜種。不正なデータのデシリアライズで発生し、認証されていない攻撃者がRCEを実行できる

malware-log.hatenablog.com

【脆弱性内容】

公開日	登録日	CVE番号	NVD	ベンダー	CVSS v3	CWE	脆弱性	KEV	備考
2025/07/19	2025/07/09	CVE-2025-53770	NVD	Microsoft	9.8(Microsoft)	CWE-502	信頼できないデータのデシリアライゼーション	2025/07/20	SharePoint
2025/07/20	2025/07/09	CVE-2025-53771	NVD	Microsoft	6.5(Microsoft)	CWE-287	不適切な認証	-	SharePoint

【図表】

脆弱なサーバーの国別分布 (ShadowServer)
出典: https://dashboard.shadowserver.org/statistics/iot-devices/tree/?date_range=other_value&day=2025-07-18&vendor=microsoft&model=sharepoint&data_set=count&scale=log&auto_update=on

【概要】

■時系列データ

	リビジョン	変更内容	日
	1.0	公開された情報	2025/07/19
	2.0	影響を受けるSharePoint製品の概要を明確化	2025/07/20
		修正の可用性に関するガイダンスを追加
		追加の保護措置に関するガイダンスを提供: SharePoint製品をサポートされるバージョンにアップグレード（必要に応じて） 2025年7月のセキュリティ更新プログラムをインストール マシンキーのローテーション
		Microsoft Defender の検出および保護のセクションを更新
		追加の MDE アラートを文書化
		Microsoft Defender 脆弱性管理による露出のマッピング
		CVE-2025-53771 を文書化
	3.0	SharePoint 2019 セキュリティ更新プログラムを公開、CVE へのリンクおよび公開済みのセキュリティ更新プログラムを追加
	4.0	セキュリティ更新プログラムへのリンクを修正、保護に関するガイダンスを明確化	2025/07/21
	5.0	SharePoint 2016 セキュリティ更新プログラムを公開し、SharePoint 言語パックへのリンクを追加し、顧客ガイドラインを更新しました	2025/07/21
	6.0	Threat Intel ブログへのリンクを追加しました	2025/07/22
	7.0	Defender の検出を追加し、明確化または文法エラーの修正を行いました	2025/07/23

■パッチ提供状況

日	内容
2025/07/20	SharePoint 2019 セキュリティ更新プログラムを公開
2025/07/21	SharePoint 2016 セキュリティ更新プログラムを公開

【ニュース】

◆Microsoft SharePoint zero-day exploited in RCE attacks, no patch available (BleepingComputer, 2025/07/20 11:40)
[マイクロソフトのSharePointのゼロデイ脆弱性がリモートコード実行（RCE）攻撃に悪用され、パッチは未公開です]
https://www.bleepingcomputer.com/news/microsoft/microsoft-sharepoint-zero-day-exploited-in-rce-attacks-no-patch-available/
⇒ https://vul.hatenadiary.com/entry/2025/07/20/000000

◆Microsoft releases emergency patches for SharePoint RCE flaws exploited in attacks (BleepingComputer, 2025/07/21 12:41)
[マイクロソフトは、攻撃で悪用されたSharePointのRCE脆弱性に対処するため、緊急のパッチをリリースしました]
https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-patches-for-sharepoint-rce-flaws-exploited-in-attacks/
⇒ https://vul.hatenadiary.com/entry/2025/07/21/000000

◆「SharePoint Server」に深刻な脆弱性「ToolShell」 - すでに悪用も (Security NEXT, 2025/07/22)
https://www.security-next.com/172538
⇒ https://vul.hatenadiary.com/entry/2025/07/22/000000

◆Microsoft links Sharepoint ToolShell attacks to Chinese hackers (BleepingComputer, 2025/07/22 07:26)
[Microsoft、Sharepoint ToolShell 攻撃を中国のハッカーと関連付け]
https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-toolshell-attacks-linked-to-chinese-hackers/
⇒ https://malware-log.hatenablog.com/entry/2025/07/22/000000　[TT Malware Log]

◆US nuclear weapons agency hacked in Microsoft SharePoint attacks (BleepingComputer, 2025/07/23 11:14)
[米国核兵器機関、Microsoft SharePoint 攻撃でハッキング被害]
https://www.bleepingcomputer.com/news/security/us-nuclear-weapons-agency-hacked-in-microsoft-sharepoint-attacks/
⇒ https://malware-log.hatenablog.com/entry/2025/07/23/000000　[TT Malware Log]

◆中国複数グループが「ToolShell」攻撃を展開 - 攻撃拡大に懸念 (Security NEXT, 2025/07/24)
https://www.security-next.com/172675
⇒ https://malware-log.hatenablog.com/entry/2025/07/24/000000_2　[TT Malware Log]

【ブログ】

◆SharePoint 0-day uncovered (CVE-2025-53770) (Eye Security, 2025/07/19)
[SharePointの0-day脆弱性が発見されました（CVE-2025-53770）]
https://research.eye.security/sharepoint-under-siege/
⇒ https://vul.hatenadiary.com/entry/2025/07/19/000000

【図表】

作成されたMicrosoft SharePoint ToolShellエクスプロイトのデモ (CODE WHITE GmbH)

悪意のある spinstall0.aspx ファイル（ValidationKey を盗むために使用） (BleepingComputer)
出典: https://www.bleepingcomputer.com/news/microsoft/microsoft-sharepoint-zero-day-exploited-in-rce-attacks-no-patch-available/

【Exploit Code】

CVE番号	作者	URL
CVE-2025-53770	kaizensecurity	https://github.com/kaizensecurity/CVE-2025-53770

【検索】

■Google

google: CVE-2025-53770
google: ToolShell

google:news: CVE-2025-53770
google:news: ToolShell

google: site:virustotal.com CVE-2025-53770
google: site:virustotal.com ToolShell

google: site:github.com CVE-2025-53770
google: site:github.com ToolShell

■Bing

https://www.bing.com/search?q=CVE-2025-53770
https://www.bing.com/search?q=ToolShell

https://www.bing.com/news/search?q=CVE-2025-53770
https://www.bing.com/news/search?q=ToolShell

■Twitter

https://twitter.com/search?q=%23CVE-2025-53770
https://twitter.com/search?q=%23ToolShell

https://twitter.com/hashtag/CVE-2025-53770
https://twitter.com/hashtag/ToolShell

■Exploit Code / PoC

https://www.exploit-db.com/search?q=CVE-2025-53770
https://www.exploit-db.com/search?q=ToolShell

https://attackerkb.com/search?q=CVE-2025-53770
https://attackerkb.com/search?q=ToolShell

【関連まとめ記事】

◆全体まとめ

◆CVE番号 (まとめ)
https://vul.hatenadiary.com/entry/CVE