发生了什么?
微软已发布安全公告,详细说明影响本地部署SharePoint服务器实例的漏洞。该漏洞允许攻击者通过反序列化未受信数据远程执行任意代码。另一个漏洞CVE-2025-53771允许攻击在绕过身份验证的情况下执行。
微软和NCSC已知该漏洞的利用代码已在野外出现,并观察到针对本地部署SharePoint服务器客户的活跃攻击,包括英国境内的少数目标。
哪些组织受影响?
使用以下本地部署SharePoint产品的组织受到影响:
- Microsoft SharePoint Server Subscription Edition
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Server 2016
应该采取什么措施?
NCSC建议遵循供应商最佳实践建议来缓解漏洞。在这种情况下,微软已发布安全更新,可完全保护使用SharePoint Subscription Edition、SharePoint 2019和SharePoint 2016的组织免受CVE-2025-53770及相关漏洞CVE-2025-53771带来的风险。应立即应用这些更新以确保安装受到保护。
除了为您的SharePoint版本应用特定安全更新外,微软还建议采取以下步骤来缓解潜在攻击:
- 使用受支持的本地部署SharePoint服务器版本
- 确保反恶意软件扫描接口(AMSI)已开启并正确配置,使用适当的防病毒解决方案(如Defender Antivirus)
- 部署Microsoft Defender for Endpoint防护或等效的威胁解决方案
- 轮换SharePoint服务器ASP.NET机器密钥
微软网站上提供了每个步骤的详细指南以及检测、保护和狩猎指导。
如果您认为已遭受入侵且位于英国,应向NCSC报告。
更多NCSC资源
NCSC提供一系列免费指南、服务和工具来帮助保护系统安全:
- 遵循NCSC指南,包括漏洞管理和防止横向移动
- NCSC漏洞披露工具包帮助各种规模的组织实施漏洞披露流程的基本组件
- 如果您的组织位于英国,可以注册免费的NCSC早期预警服务,接收网络潜在威胁通知