中国黑客组织攻击SharePoint漏洞分析

某中心SharePoint服务器遭受来自中国黑客组织的定向攻击,涉及四个关键漏洞的远程代码执行和身份验证绕过。文章详细分析攻击手法、涉及的黑客组织背景及防护建议,为企业安全防护提供重要参考。

某中心将SharePoint攻击归咎于“中国背景威胁组织”

漏洞处于活跃攻击状态

某中心于7月18日发布的SharePatch补丁未能完全缓解安全漏洞,促使该机构发布额外修复程序。某中心威胁情报团队确认至少三个中国黑客组织应对利用SharePoint漏洞负责。

初始更新针对两个安全漏洞:

  • CVE-2025-49704:远程代码执行(RCE)漏洞,允许黑客访问SharePoint及Outlook、OneDrive、Teams等服务,可部署恶意代码
  • CVE-2025-49706: improper authentication漏洞,攻击者可访问本地托管服务器

随后发现的两个零日漏洞:

  • CVE-2025-53770:允许绕过身份验证检查和凭证验证
  • CVE-2025-53771:可伪造认证用户凭证生成合法来源数据载荷

中国APT组织参与攻击活动

三个与中国关联的黑客组织涉及漏洞利用:

Linen Typhoon

  • 自2012年起从事知识产权窃取
  • 主要目标:政府、国防、人权组织等部门

Violet Typhoon

  • 2015年首次被发现,主要从事间谍活动
  • 目标包括政府官员、军事人员及高等教育、媒体、金融、医疗组织

Storm-2603

  • 虽仅有"中等置信度"认定其源自中国,但表现出与前述组织相同的攻击模式
  • 目前未发现与其他组织的关联性

系统防护建议

某中心已紧急发布针对SharePoint Server订阅版、2019和2016版本的安全更新。鉴于这些黑客组织的持续活跃特性,建议:

  • 及时安装最新软件更新
  • 持续监控面向互联网的服务器
  • 实施多层次身份验证机制

本文涉及的技术细节包括远程代码执行、身份验证绕过、漏洞利用技术及APT攻击手法,为企业级安全防护提供具体参考依据。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次