微软SharePoint服务器漏洞分析与防护指南

概要

近期在Microsoft SharePoint Server中发现了严重安全漏洞。NCSC已就此发布安全建议。仅本地部署的SharePoint Server版本存在漏洞。Microsoft表示Microsoft 365中的SharePoint Online不受影响。恶意攻击者可利用这些漏洞入侵SharePoint系统。一旦成功，攻击者就能访问敏感信息，或对IT环境的其他部分发起攻击。 NCSC呼吁组织遵循安全建议中的措施，并检查系统是否遭受滥用。本页面将详细说明这些建议。 Microsoft已提供安全更新以修复这些漏洞。如发现可能的滥用情况，请与NCSC联系。

情况说明

SharePoint是什么？

Microsoft SharePoint Server是一个用于存储、组织和共享信息及文档的Web平台。例如，它被用作协作空间和内部网站。

这些漏洞存在于Microsoft SharePoint Server 2016、2019和SharePoint Server订阅版中。Microsoft称，Microsoft 365中的SharePoint Online不包含这些漏洞。

漏洞详情

这些漏洞被标识为CVE-2025-53770和CVE-2025-53771。Microsoft现已提供安全更新来修复这些漏洞。

在多个荷兰及国际组织中发现了存在漏洞的系统。如果系统存在漏洞，并不直接意味着已经发生了滥用行为。此前，NCSC已就这些漏洞制定了安全建议。

预防滥用

通过遵循本消息中的操作指南，防止这些漏洞在您的SharePoint环境中被滥用。NCSC正在监控荷兰组织中可能对Microsoft SharePoint Server漏洞的滥用情况，并已通知多个遭遇漏洞滥用的组织。

与Citrix案例无关联

NCSC强调，Microsoft SharePoint Server与Citrix NetScaler ADC和Citrix Gateway的漏洞是独立的案例，彼此无关。由于后果相似且这些案例同时发生，可能会对这些漏洞的性质和关联性造成混淆。

时间线

2025年7月

7月8日：Microsoft向客户通报Microsoft SharePoint Server中的两个漏洞：CVE-2025-49704和CVE-2025-49706。NCSC发布关于Microsoft SharePoint Server中漏洞CVE-2025-49704和CVE-2025-49706的安全建议NCSC-2025-0215。
7月14日：CVE-2025-49706和CVE-2025-49704的概念验证被公开。
7月18日：Eye Security发布博客，报告观察到SharePoint上的活跃滥用行为。
7月19日：Microsoft向客户通报Microsoft SharePoint Server中两个被主动滥用的漏洞CVE-2025-53770和CVE-2025-53771。这些是CVE-2025-49704和CVE-2025-49706的新变种。NCSC将关于漏洞CVE-2025-49704和CVE-2025-49706的安全建议NCSC-2025-0215的级别提升至High/High。
7月20日：NCSC发布关于Microsoft SharePoint Server中漏洞CVE-2025-53770和CVE-2025-53771的安全建议NCSC-2025-0233。Microsoft为Sharepoint 2019发布安全更新。
7月21日：Microsoft为Sharepoint 2016发布安全更新。

说明

可从互联网访问的系统是恶意行为者的热门目标。

可从互联网访问的Microsoft SharePoint服务器面临最大的滥用风险。未打补丁、没有直接互联网访问权限的内部Microsoft SharePoint服务器也可能通过利用这些漏洞而被滥用。如果恶意行为者通过其他方法入侵环境，他们可以利用这些漏洞，例如从易受攻击的服务器窃取机密信息。因此，为不面向互联网的Microsoft SharePoint服务器打补丁也很重要。

在公开报道中，这些漏洞的滥用被归因于不同的行为者。可以想象，国家和犯罪行为者都对这些漏洞感兴趣，例如用于获取敏感数据或执行勒索软件攻击。

组织使用Microsoft SharePoint服务器存储信息和文档，其中可能包括大量机密和敏感数据。这使其成为一个特别有吸引力的目标。

操作指南

关注NCSC的通讯

NCSC正在积极研究Microsoft SharePoint Server漏洞。NCSC通过各种渠道分享发现。NCSC公开发布关于这些漏洞的安全建议。此外，本网站消息会在情况需要时更新。

采取预防措施

保护关键系统和流程。例如，可以通过为关键系统中的漏洞打补丁来实现，这些系统也称为待保护利益。按优先级进行，从而最好（且最快）地保护最重要的待保护利益。SharePoint通常用作协作和文档管理的中心平台。根据SharePoint环境上的内容以及其可访问性，您可以评估保护此环境的紧迫性。如果您的SharePoint包含大量敏感信息（如项目计划、HR文档或客户数据）并且与互联网连接，那么这会增加紧迫性。

注重检测和响应

即使漏洞已修复，也可能已经发生了滥用行为。因此，请确保具备适当的检测能力。这可以提供额外的视野，了解您的组织是否受到影响。此外，请制定良好的事件响应计划，并准备在事件发生时进行恢复。

在出现滥用迹象时采取行动

如果您有可能被滥用的迹象，请与NCSC和/或您的网络安全合作伙伴联系。想了解更多关于NCSC如何在网络事件中为您提供支持的信息？您可以在此页面找到关于NCSC援助和提交报告的更多信息。

技术操作指南

补丁与更新

对于SharePoint Server 2016、2019和SharePoint订阅版，Microsoft已发布更新。请尽快执行这些更新。

调查可能的滥用

使用IoC调查您的组织中的Microsoft SharePoint Server漏洞是否可能已被滥用。这些IoC的引用可以在NCSC的安全建议中找到。

采取额外措施保护您的环境

Microsoft发布了一个分步指南，除了前面提到的措施外，还包含一些额外措施，包括：

启用并正确配置反恶意软件扫描接口（AMSI）。如果您未打补丁且轮换计算机密钥，这可以减轻漏洞的滥用。
轮换计算机密钥可防止通过漏洞滥用获取的受损密钥被利用。

如果发现可能的滥用行为请响应

聘请事件响应合作伙伴协助进行技术调查和系统恢复。
与NCSC联系以获取可能额外的支持。