微软SharePoint服务器远程代码执行漏洞深度解析

微软SharePoint服务器存在多个高危漏洞(CVE-2025-53770和CVE-2025-53771),攻击者可通过反序列化和路径遍历实现未认证远程代码执行。本文详细分析漏洞技术细节、影响范围和修复建议。

微软SharePoint服务器多个漏洞可能导致远程代码执行

MS-ISAC咨询编号: 2025-066 - 更新版(邮件通知中误发为2025-065) 发布日期: 2025年7月22日

概述

微软SharePoint服务器中发现多个漏洞,可能允许远程代码执行。Microsoft SharePoint Server是一个基于Web的协作平台,与Microsoft Office集成。成功利用这些漏洞可导致未认证访问系统,使恶意攻击者完全访问SharePoint内容(包括文件系统和内部配置),并通过网络执行代码。

威胁情报

CISA已确认CVE-2025-53770和CVE-2025-53771在野被积极利用。这种被公开称为"ToolShell"的利用活动提供了对系统的未认证访问,使恶意攻击者能够完全访问SharePoint内容(包括文件系统和内部配置),并通过网络执行代码。

受影响系统

  • Microsoft SharePoint Server Subscription Edition(安全更新KB5002768之前的版本)
  • Microsoft SharePoint Server 2019 Core(安全更新KB5002754之前的版本)
  • Microsoft SharePoint Server 2019 Language Pack(安全更新KB5002753之前的版本)
  • Microsoft SharePoint Enterprise Server 2016(安全更新KB5002760之前的版本)
  • Microsoft SharePoint Enterprise Server 2016 Language Pack(安全更新KB5002759之前的版本)

风险等级

政府机构:

  • 大中型政府实体:高危
  • 小型政府实体:中危

企业:

  • 大中型企业实体:高危
  • 小型企业实体:中危

家庭用户: 低危

技术详情

在Microsoft SharePoint服务器中发现多个可能允许远程代码执行的漏洞。漏洞详情如下:

战术:初始访问(TA0001) 技术:利用面向公众的应用程序(T1190)

  • CVE-2025-53770:本地Microsoft SharePoint服务器中不可信数据的反序列化允许未经授权的攻击者通过网络执行代码
  • CVE-2025-53771:Microsoft Office SharePoint中路径名限制不当(路径遍历)允许经授权的攻击者通过网络执行欺骗

这些漏洞是先前已修补缺陷(CVE-2025-49704和CVE-2025-49706)的演变,供应商提供的初始修复不完整,使攻击者能够通过高级反序列化技术和ViewState滥用实现未认证RCE攻击。微软于7月20日发布了解决这些漏洞的补丁。

成功利用这些漏洞可导致未认证访问系统,使恶意攻击者完全访问SharePoint内容(包括文件系统和内部配置),并通过网络执行代码。

修复建议

我们建议采取以下措施:

  1. 应用软件更新(M1051)

    • 经过适当测试后立即为易受攻击的系统应用微软提供的适当更新
    • 保障措施7.1:建立和维护漏洞管理流程
    • 保障措施7.2:建立和维护修复流程
    • 保障措施7.4:执行自动化应用程序补丁管理
    • 保障措施7.5:执行内部企业资产的自动化漏洞扫描
    • 保障措施7.7:修复检测到的漏洞
    • 保障措施12.1:确保网络基础设施保持最新

  2. 权限管理(M1026)

    • 对所有系统和服务应用最小权限原则
    • 以非特权用户身份运行所有软件以减少成功攻击的影响
    • 保障措施4.7:管理企业资产和软件上的默认账户
    • 保障措施5.5:建立和维护服务账户清单

  3. 漏洞扫描(M1016)

    • 使用漏洞扫描查找可能被利用的软件漏洞并进行修复
    • 保障措施16.13:进行应用程序渗透测试

  4. 网络分段(M1030)

    • 架构网络部分以隔离关键系统、功能或资源
    • 使用物理和逻辑分段防止访问潜在敏感系统和信息
    • 使用DMZ包含不应从内部网络暴露的任何面向互联网的服务
    • 配置单独的虚拟私有云(VPC)实例以隔离关键云系统
    • 保障措施12.2:建立和维护安全网络架构

  5. 利用保护(M1050)

    • 使用功能检测和阻止可能导致或指示软件利用发生的条件
    • 保障措施10.5:启用反利用功能

参考资源

  • CISA:https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-releases-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770
  • CVE:
  • 微软:https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
  • Trendmicro:https://www.trendmicro.com/en_us/research/25/g/cve-2025-53770-and-cve-2025-53771-sharepoint-attacks.html
  • Unit42:https://unit42.paloaltonetworks.com/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770/
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次