微软修复SharePoint零日漏洞攻击

2025年7月21日

2025年7月20日，微软公司针对SharePoint Server中一个正被积极利用以入侵易受攻击组织的漏洞发布了紧急安全更新。该补丁发布之际，有报道称恶意黑客已利用该SharePoint漏洞入侵了美国联邦和州级机构、大学以及能源公司。

在关于SharePoint安全漏洞（即CVE-2025-53770）的公告中，微软表示已意识到针对本地部署SharePoint Server客户的主动攻击，这些攻击利用了2025年7月8日安全更新仅部分解决的漏洞。

网络安全和基础设施安全局（CISA）对此表示认同，称CVE-2025-53770是微软本月早些时候修补的一个漏洞（CVE-2025-49706）的变种。微软指出，该弱点仅适用于组织内部使用的SharePoint Server，而SharePoint Online和Microsoft 365不受影响。

《华盛顿邮报》周日报道称，美国政府及加拿大和澳大利亚的合作伙伴正在调查SharePoint服务器遭黑客攻击事件，这些服务器为共享和管理文档提供平台。该报报道称，至少有两个美国联邦机构的服务器通过SharePoint漏洞被攻破。

据CISA称，利用新发现漏洞的攻击者正在被入侵的服务器上安装一个名为“ToolShell”的后门，该后门提供未经身份验证的远程系统访问权限。CISA表示，ToolShell使攻击者能够完全访问SharePoint内容（包括文件系统和内部配置），并通过网络执行代码。

Eye Security的研究人员表示，他们于2025年7月18日首次发现SharePoint漏洞的大规模利用，并很快发现数十台独立的服务器因该漏洞而受到入侵并感染了ToolShell。在一篇博客文章中，研究人员称这些攻击旨在窃取SharePoint服务器ASP.NET机器密钥。

“这些密钥可用于促进进一步的攻击，甚至在日后也是如此，”Eye Security警告道。“受影响的服务器必须轮换SharePoint服务器ASP.NET机器密钥并在所有SharePoint服务器上重启IIS，这一点至关重要。仅打补丁是不够的。我们强烈建议防御者在采取行动前不要等待供应商修复。此威胁已经活跃并迅速传播。”

微软的公告称，公司已为SharePoint Server订阅版和SharePoint Server 2019发布了更新，但仍在为受支持的SharePoint 2019和SharePoint 2016版本制定更新。

CISA建议易受攻击的组织在SharePoint中启用反恶意软件扫描接口（AMSI），在所有SharePoint服务器上部署Microsoft Defender AV，并在官方补丁可用之前将受影响的产品与面向公众的互联网断开连接。

安全公司Rapid7指出，微软将CVE-2025-53770描述为与先前漏洞CVE-2025-49704（本月早些时候已修补）相关，并且CVE-2025-49704是2025年5月Pwn2Own黑客竞赛中演示的攻击链的一部分。该攻击链利用了第二个SharePoint弱点CVE-2025-49706，微软在本月的补丁星期二中试图修复该弱点但未成功。

微软还发布了一个相关SharePoint漏洞CVE-2025-53771的补丁；微软表示没有迹象表明CVE-2025-53771存在主动攻击，并且该补丁旨在提供比CVE-2025-49706更新更强大的保护。

这是一个快速发展的故事。任何更新都将带有时间戳注明。