微软紧急修复SharePoint零日漏洞，应对大规模攻击

2025年7月20日，微软公司发布紧急安全更新，修复SharePoint Server中的一个漏洞，该漏洞正被积极利用以入侵易受攻击的组织。此次补丁发布之际，有报道称恶意黑客利用该SharePoint漏洞入侵了美国联邦和州机构、大学以及能源公司。

在关于SharePoint安全漏洞（即CVE-2025-53770）的公告中，微软表示，已知有主动攻击针对本地SharePoint Server客户，并利用2025年7月8日安全更新仅部分解决的漏洞。

网络安全与基础设施安全局（CISA）同意这一说法，称CVE-2025-53770是微软本月早些时候修补的漏洞（CVE-2025-49706）的一个变体。微软指出，该弱点仅适用于组织内部使用的SharePoint Server，而SharePoint Online和Microsoft 365不受影响。

《华盛顿邮报》周日报道，美国政府及加拿大和澳大利亚的合作伙伴正在调查SharePoint服务器的入侵事件，这些服务器提供共享和管理文档的平台。该报报道称，至少有两个美国联邦机构的服务器通过SharePoint漏洞被入侵。

据CISA称，利用新发现漏洞的攻击者正在被入侵的服务器上安装名为“ToolShell”的后门，该后门提供未经身份验证的远程系统访问。CISA表示，ToolShell使攻击者能够完全访问SharePoint内容（包括文件系统和内部配置），并通过网络执行代码。

Eye Security的研究人员表示，他们于2025年7月18日首次发现SharePoint漏洞的大规模利用，并很快发现数十台独立的服务器因该漏洞而受损并感染了ToolShell。在一篇博客文章中，研究人员表示，攻击旨在窃取SharePoint服务器ASP.NET机器密钥。

“这些密钥可用于促进进一步的攻击，甚至在稍后的日期，”Eye Security警告说。“受影响的服务器的关键是轮换SharePoint服务器ASP.NET机器密钥并在所有SharePoint服务器上重新启动IIS。仅打补丁是不够的。我们强烈建议防御者在采取行动之前不要等待供应商修复。此威胁已经运作并迅速传播。”

微软的公告称，公司已发布SharePoint Server订阅版和SharePoint Server 2019的更新，但仍在为支持的SharePoint 2019和SharePoint 2016版本开发更新。

CISA建议易受攻击的组织在SharePoint中启用反恶意软件扫描接口（AMSI），在所有SharePoint服务器上部署Microsoft Defender AV，并在官方补丁可用之前将受影响的产品与面向公众的互联网断开连接。

安全公司Rapid7指出，微软已将CVE-2025-53770描述为与先前漏洞CVE-2025-49704相关（本月早些时候已修补），而CVE-2025-49704是2025年5月Pwn2Own黑客竞赛中演示的漏洞利用链的一部分。该漏洞利用链调用了第二个SharePoint弱点CVE-2025-49706，微软在本月的补丁星期二中尝试修复但未成功。

微软还发布了相关SharePoint漏洞CVE-2025-53771的补丁；微软表示，没有迹象表明CVE-2025-53771存在主动攻击，该补丁旨在提供比CVE-2025-49706更新更强大的保护。

这是一个快速发展的故事。任何更新将带有时间戳注明。