中国黑客组织利用SharePoint漏洞发起攻击

某中心近期发现SharePoint软件存在多个安全漏洞,包括远程代码执行和身份验证绕过漏洞。至少三个中国背景的黑客组织正在积极利用这些漏洞发起攻击,涉及知识产权窃取和间谍活动。本文详细分析漏洞特征及防护建议。

SharePoint漏洞正被积极利用

某中心于7月18日发布的SharePoint补丁未能完全修复安全漏洞,导致需要发布额外修复程序。该中心威胁情报团队确认至少三个中国黑客组织应对此次漏洞利用负责。

初始修复针对两个安全漏洞:

  • CVE-2025-49704:远程代码执行(RCE)漏洞,允许攻击者访问SharePoint及Outlook、OneDrive、Teams等服务,并可部署恶意代码
  • CVE-2025-49706:身份验证不当漏洞,使攻击者能够访问本地部署的SharePoint服务器

随后发现的两个零日漏洞:

  • CVE-2025-53770:允许攻击者在数据传输过程中绕过身份验证检查和凭据验证
  • CVE-2025-53771:攻击者可伪造已认证用户凭据,生成看似源自合法来源的数据负载

参与攻击的中国APT组织

三个与中国关联的黑客组织涉及此次漏洞利用:

Linen Typhoon

  • 自2012年起从事知识产权窃取
  • 主要攻击政府、国防、人权等领域的组织机构

Violet Typhoon

  • 2015年首次被发现,主要从事间谍活动
  • 目标包括政府官员、军事人员以及高等教育、媒体、金融和医疗组织

Storm-2603

  • 虽未明确归属但具有类似行为特征
  • 目前未发现与其他两个组织存在关联

系统防护建议

尽管已发布针对SharePoint Server订阅版、2019和2016版本的安全更新,鉴于这些黑客组织的持续活跃,建议及时安装最新软件更新以防范潜在威胁。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次