微软紧急修复被利用的SharePoint “ToolShell"漏洞

恶意攻击者已经利用这个被追踪为CVE-2025-53770的零日漏洞，入侵了美国政府机构和其他企业，攻击正在广泛持续进行中。

微软今日发布更新，修补了Microsoft SharePoint Server中的一个关键零日漏洞。攻击者已经利用该漏洞对美国联邦和州政府机构以及其他全球组织发起了一波持续攻击。

攻击链涉及利用这个CVSS评分9.8的关键漏洞(CVE-2025-53770)和一个路径遍历漏洞(CVE-2025-53771)。根据国家漏洞数据库的条目，CVE-2025-53770存在于"本地部署的Microsoft SharePoint Server中对不可信数据的反序列化"中，使得"未经授权的攻击者可以通过网络执行代码”。

根据Ontinue高级威胁运营(ATO)团队今日发布的博客文章，要利用此漏洞，“攻击者会精心构造恶意序列化数据，服务器会错误地反序列化这些数据，从而导致未经身份验证的远程代码执行。不需要事先访问或用户交互。”

这个被称为"ToolShell"的攻击链可以让攻击者完全控制组织内部本地运行的Microsoft SharePoint Server。不过，该攻击不适用于Microsoft 365版本的SharePoint Online。

CVE-2025-53770的全球大规模利用

在微软7月19日披露时还没有补丁的CVE-2025-53770被广泛利用的报告在上周末出现。《华盛顿邮报》7月20日报道称，攻击者已经利用该漏洞"入侵了美国联邦和州政府机构、大学、能源公司和一家亚洲电信公司"，援引了州官员和私人研究人员的话。美国网络安全和基础设施安全局(CISA)也拉响警报，昨天将CVE-2025-53770添加到其已知被利用漏洞目录中，并建议组织立即采取措施进行缓解。

根据微软针对CVE-2025-53770的安全公告，微软已经发布了"安全更新，完全保护使用SharePoint订阅版和SharePoint 2019的客户免受CVE-2025-53770和CVE-2025-53771带来的风险"。这些更新包括针对Microsoft SharePoint订阅版和SharePoint 2019的补丁，还为CVE-2025-49704和CVE-2025-49706提供了更强大的保护。

“客户应立即应用这些更新以确保受到保护，“该公司表示，并补充说它正在为支持的SharePoint 2019和SharePoint 2016版本开发安全更新，建议这些客户定期查看以获取更多信息。

虽然没有关于攻击责任方的确切信息，但根据Ontinue ATO的帖子，威胁情报表明中国的Silk Typhoon或Storm-0506(又名Black Basta)等组织可能参与其中。

面临风险的SharePoint服务器

这个漏洞的问题似乎源于德国进攻性安全组织Code White Gmbh在社交媒体平台X上的一篇随意帖子，该帖子演示了针对SharePoint的未经身份验证的RCE攻击链，结合了5月在柏林Pwn2Own会议上披露的两个漏洞。这两个漏洞——一个是被追踪为CVE-2025-49704的代码注入漏洞，另一个是被追踪为CVE-2025-49706的身份验证漏洞——是由Viettel网络安全的研究员Dinh Ho Anh Khoa发现的。

根据CISA和微软的说法，CVE-2025-53770是CVE-2025-49706的一个变种。

攻击的最初迹象出现在7月18日星期五晚上，当时Eye Security的研究人员注意到大规模主动利用，他们在全球扫描了8000多台SharePoint服务器后，发现"数十个系统在那天晚上和第二天被主动入侵”，他们在7月19日发布的博客文章中写道。

他们观察到的攻击涉及"一个经典的web shell，在自定义路径中的混淆代码，旨在通过HTTP允许远程命令执行”，根据Eye Security的帖子。

起初，研究人员认为他们看到的是对Active Directory Federation Services (ADFS)的暴力破解或凭据填充攻击，随后是使用有效凭据的认证上传或远程代码尝试。“受影响的SharePoint服务器暴露在互联网上，并使用混合ADFS与Azure AD绑定，“他们写道。“当配置错误或过时时，这种堆栈可能是一个危险的组合。”

识别ToolShell攻击

最终，研究人员进行了一些挖掘，发现了Code White的ToolShell X帖子，当时这被认为是一个概念验证(PoC)，没有公开代码或明确的漏洞利用细节。他们很快意识到这正是他们观察到的攻击向量——它本身与另一个SharePoint漏洞CVE-2021-28474之前的攻击向量相似。

在之前的攻击向量中，“攻击者滥用SharePoint页面中的服务器端控制解析逻辑，将意外对象注入页面生命周期，“根据Eye Security的说法。

研究人员表示，这是可能的，因为SharePoint使用存储在机器配置中的签名密钥(即ValidationKey)加载和执行ASP.NET ViewState对象。“通过精心构造带有序列化payload的恶意页面请求，并正确签名，攻击者可以使SharePoint反序列化任意对象并执行嵌入的命令，“根据帖子。“然而，漏洞利用受到生成有效签名的要求的限制，这反过来需要访问服务器的秘密ValidationKey。”

研究人员解释说，在ToolShell链中，攻击者似乎直接从内存或配置中提取ValidationKey。“一旦这些加密材料泄露，攻击者就可以使用一个名为ysoserial的工具制作完全有效的、已签名的__VIEWSTATE payload，“这使得攻击者可以为RCE生成自己的有效SharePoint令牌，根据帖子。

“这些payload可以嵌入任何恶意命令，并被服务器作为可信输入接受，完成RCE链而不需要凭据，“根据Eye Security的说法。“这反映了2021年被利用的设计弱点，但现在打包成了一个现代的零日链，具有自动shell投放、完全持久性和零认证。”

其他缓解措施

最新的零日攻击标志着微软又一次受挫，去年国家行为者Midnight Blizzard入侵微软企业电子邮件账户并在此过程中窃取了联邦机构的凭据后，该公司面临越来越多的审查，这促使CISA发布了紧急指令。联邦网络安全审查委员会在一份期待已久的报告中随后的发现发现，该公司也未能防止之前对其Microsoft Exchange Online环境的单独黑客攻击，引发了对该供应商的新一波批评。

安全研究人员表示，不应低估对SharePoint的更多攻击的可能性，并建议组织立即对所有易受攻击的系统应用缓解措施。SharePoint被大大小小的组织广泛用于业务文档共享，因此由于攻击者可以通过访问实例获取敏感信息，它成为威胁行为者的热门攻击向量。事实上，ToolShell让人想起去年秋天PoC发布后对另一个反序列化漏洞CVE-2024-38094的广泛利用。

微软表示，它仍在为SharePoint 2016开发补丁。对于无法立即应用CVE-2025-53770和CVE-2025-53771修复程序或正在运行SharePoint 2016的组织，该公司建议采取其他快速行动进行缓解。

这些行动包括部署Defender for Endpoint以检测漏洞利用后的活动，确保在本地SharePoint Server中集成AMSI，并在所有SharePoint主机上启用Microsoft Defender Antivirus。此外，微软表示，如果无法启用AMSI，组织应完全将易受攻击的系统与互联网断开连接，直到他们能够完全修补系统。