微软修复针对SharePoint零日漏洞的攻击

2025年7月20日，微软公司发布紧急安全更新，修复SharePoint Server中一个正被积极利用入侵脆弱组织的漏洞。该补丁发布之际，有报道称恶意黑客已利用此SharePoint漏洞入侵美国联邦和州级机构、大学以及能源公司。

在关于SharePoint安全漏洞（即CVE-2025-53770）的公告中，微软表示已知晓针对本地SharePoint Server客户的主动攻击，这些攻击利用了2025年7月8日安全更新仅部分解决的漏洞。

网络安全与基础设施安全局（CISA）同意此观点，称CVE-2025-53770是微软本月早些时候修补的漏洞（CVE-2025-49706）的一个变种。微软指出，该弱点仅适用于组织内部使用的SharePoint Server，而SharePoint Online和Microsoft 365不受影响。

《华盛顿邮报》周日报道，美国政府及加拿大和澳大利亚的合作伙伴正在调查SharePoint服务器遭黑客入侵事件，这些服务器提供共享和管理文档的平台。该报报道称，至少有两个美国联邦机构的服务器通过SharePoint漏洞被攻破。

据CISA称，利用新发现漏洞的攻击者正在被入侵的服务器上安装名为"ToolShell"的后门，该后门提供未经身份验证的远程系统访问。CISA表示，ToolShell使攻击者能够完全访问SharePoint内容（包括文件系统和内部配置），并通过网络执行代码。

Eye Security的研究人员表示，他们于2025年7月18日首次发现SharePoint漏洞的大规模利用，很快发现数十台独立服务器因该漏洞被入侵并感染了ToolShell。在一篇博客文章中，研究人员称这些攻击旨在窃取SharePoint服务器ASP.NET机器密钥。

“这些密钥可用于促进进一步的攻击，甚至在日后也是如此，“Eye Security警告道。“受影响服务器必须轮换SharePoint服务器ASP.NET机器密钥并在所有SharePoint服务器上重启IIS，这一点至关重要。仅打补丁是不够的。我们强烈建议防御者在采取行动前不要等待供应商修复。此威胁已经运作并迅速传播。”

微软的公告称，公司已为SharePoint Server订阅版和SharePoint Server 2019发布更新，但仍在为受支持的SharePoint 2019和SharePoint 2016版本制定更新。

CISA建议脆弱组织在SharePoint中启用反恶意软件扫描接口（AMSI），在所有SharePoint服务器上部署Microsoft Defender AV，并在官方补丁可用前将受影响产品与面向公众的互联网断开连接。

安全公司Rapid7指出，微软已将CVE-2025-53770描述为与先前漏洞CVE-2025-49704相关（本月早些时候已修补），而CVE-2025-49704是2025年5月Pwn2Own黑客竞赛中演示的攻击链的一部分。该攻击链引用了第二个SharePoint弱点CVE-2025-49706，微软在本月的补丁星期二中未能成功修复。

微软还发布了相关SharePoint漏洞CVE-2025-53771的补丁；微软表示没有迹象表明CVE-2025-53771存在主动攻击，该补丁旨在提供比CVE-2025-49706更新更强大的保护。

这是一个快速发展的故事。任何更新都将带有时间戳注明。