微软SharePoint零日漏洞
中国黑客正在利用微软SharePoint中的一个高危漏洞在全球范围内窃取数据:
该漏洞被追踪为CVE-2025-53770,严重性评分为9.8(满分10)。它允许未经身份验证的远程访问暴露在互联网上的SharePoint服务器。从周五开始,研究人员开始警告该漏洞的活跃利用,该漏洞影响基础设施客户在内部运行的SharePoint服务器。微软的云托管SharePoint Online和Microsoft 365不受影响。
以下是微软的修补说明。仅打补丁是不够的,因为攻击者已利用该漏洞窃取身份验证凭据。这绝对是一团糟。CISA有更多信息。还有这四个链接。两个Slashdot线程。
这是一个正在展开的安全混乱,也是一次相当成功的黑客行动。
评论分析
Clive Robinson • 2025年7月28日上午10:09
@ Bruce,
关于“这绝对是一团糟”,您没有明确是指这个特定的微软产品,还是微软的软件生产整体…
由于微软在设计、原型制作、生产和支持软件的方式上存在无数失败,最近发生的攻击严重性都在9或以上。
在一个案例中,微软试图修复一个故障,却向破解者(我们推测是通过逆向工程微软发布的补丁)展示了如何在大约一天内找到并利用类似的缺陷…
这些攻击被发现、漏洞被创建并投入使用的速度如此之快,严重表明微软和类似公司需要重新审视他们的工作方式。
此外,尽管当前的AI LLM和ML系统在软件方面相当糟糕,但与人类相比,它们速度极快。
攻击进展和软件开发的本质是向前推进。因此,我们只能期望当前AI在分析和开发软件方面的性能“提高”。
因此,可能用不了多久,“补丁到现场攻击”的时间就会以分钟而不是小时来衡量。
AlexT • 2025年7月28日上午10:40
我是否正确理解这仅适用于本地部署的SharePoint?!
Stephen • 2025年7月28日上午11:41
我所看到的一切表明这仅适用于“本地”部署。SharePoint Online(目前)未受影响。
这似乎是一个新的威胁模型。如果从修补后的二进制文件中逆向工程漏洞利用的时间超过了测试并将补丁部署到生产环境的时间,那么您就会因修补漏洞的严重性而陷入困境。
可以设想对可执行代码进行加密/混淆以减慢自动化分析的速度,但性能损失也会由合法用户承担。
也许订阅零日漏洞通讯只需要许可证费用以及自动化分析消耗的开发和执行资源。如果是这样,这不是微软独有的问题——除非他们发布相对更多的补丁,从而有效增加攻击面。但至少在纸面上,这些攻击应该对任何从远程存储库接收补丁的系统都有效。
lurker • 2025年7月28日下午2:40
@Stephen
“我所看到的一切表明这仅适用于‘本地’部署。SharePoint Online(目前)未受影响。”
是的,这暴露了部分谜题:他们使用“本地”SharePoint来避免互联网的问题,但他们仍然把肮脏的旧互联网拖进来…
Clive Robinson • 2025年7月28日下午3:21
@ Stephen, ALL,
关于“如果从修补后的二进制文件中逆向工程漏洞利用的时间超过了测试并将补丁部署到生产环境的时间,那么您就会因修补漏洞的严重性而陷入困境。”
实际上“比那更糟”。
当发现一个漏洞利用时,它总是“一类攻击中的一个实例”。
这是由于“代码重用”的各种形式,尤其是在“序列化”等常见函数中。
也就是说,可攻击漏洞的类别几乎总是比单个实例更大,并且实例的数量几乎肯定会随着时间和持续开发而增长。
因此,如果它是在新类别中发现的第一个实例,那么几乎肯定有大量其他可攻击漏洞的实例,不仅存在于当前代码中,还存在于未来的代码中。
而且类别往往不是孤立存在的,它们往往与相关类别分组。因此,实际上是更大更通用类别的子类。
所以仅仅找到一个“新实例”意味着您必须修复不仅该漏洞,还有其类别中的其他漏洞,以及相关类别。
这显然不是微软在匆忙推出补丁时所做的事情,他们只修复了“该漏洞”。
据称中国攻击者随后对补丁进行了逆向工程,并在该类别或密切相关的类别中发现了其他漏洞。
我关于当前AI LLM和ML系统的观点是,虽然它们可能对许多事情没有多大用处,但它们是很好的“自适应过滤器”,因此找到相关实例和相关类别的攻击是它们几乎理想适合的事情。
虽然美国AI公司正在用“通用模型”“做大”,这些模型“样样通,样样松”,但据我们所知,中国正在追求更小更具体的模型,这些模型实际上是“高级定制/专家系统”,是“行业/知识领域的大师”。
这样的系统不仅擅长通过模式匹配进行逆向工程,还擅长发现各种相关性的相关模式。
如您所述,“如果从修补后的二进制文件中逆向工程漏洞利用的时间超过了测试并将补丁部署到生产环境的时间,那么您就会陷入困境”对于所有漏洞类别的所有实例和所有相关类别。
但是…不仅在那个应用程序中,在所有相关应用程序中,其中代码被重用(类别)且开发方法相同(相关类别)。
因此,我向我们的主持人@Bruce提问:“您没有明确是指这个特定的微软产品,还是微软的软件生产整体…”
也就是说,他是指仅仅这个应用程序还是微软的所有应用程序。
微软过去的历史表明很可能是后者。
如果是中国人在使用AI逆向工程补丁等,那么微软的客户但大型软件公司无疑将“生活在有趣的时代”。
Clive Robinson • 2025年7月28日下午3:30
@ Bruce, ALL,
让当前AI LLM和ML系统擅长逆向工程和找到相关实例和漏洞类别将是一个新的努力领域。
如果您考虑一下,需要的是ML的一种新形式的标记器/转换器,以找到正确的语义级别并调整LLM网络。
我可以在不久的将来看到这个领域的几篇论文和博士论文。
有些事情也告诉我,它将少于这个博客在“原始安全领域”通常有的平均8年领先时间。
ResearcherZero • 2025年7月31日凌晨2:15
Digital Hammer可能被入侵。攻击者可能获得了与CIA技术收购工作相关的敏感信息。Digital Hammer对HUMINT、监视、反情报行动以及对抗中文情报和数据操作领域的应用科学感兴趣。
CIA未发表评论,也未回应有关SharePoint是否被利用的问题。
‘https://www.washingtontimes.com/news/2025/jul/24/major-intelligence-website-hacked-search-cia-spying-secrets/
微软正在调查警报是否向中国黑客组织透露了SharePoint漏洞。
微软表示将终止其在中国为国防部云计算提供的工程支持。
ResearcherZero • 2025年7月31日凌晨2:43
@Stephen
微软有一个项目,经验不足且资格不足的人员(具有安全许可)监督高技能外国程序员和支持人员的工作,这些人维护微软的政府社区云(GCC)服务。这些被雇用来监督中国工程师的人被称为“数字护送”。
也许订阅零日漏洞通讯只需要许可证费用以及自动化分析消耗的开发和执行资源。
是的。微软向外国政府提供一系列服务,包括此类警报。
上面的Ars文章和这里的更多内容讲述了更多关于GCC项目的信息…
微软告诉ProPublica,它已向联邦政府披露了有关护送模式的细节。但前政府官员在采访中表示,他们从未听说过数字护送。该项目似乎非常低调,甚至国防部的IT机构都难以找到熟悉它的人。
“实际上似乎没有人知道这件事,所以我不知道该从哪里开始,”国防信息系统机构发言人Deven King说。
然而,网络安全专家告诉ProPublica,外国对GCC的支持为间谍活动和破坏提供了机会。“由于如此多的数据存储在云服务中——以及AI快速分析数据的能力——即使是非机密数据也可能揭示可能损害美国利益的见解。”
核武器机构也被入侵,以及许多其他组织。
ResearcherZero • 2025年7月31日凌晨2:54
@Clive Robinson
“我们感到惊讶。太频繁了。被世界上的事件…”
反情境意识 <- 我最喜欢的新术语。 🙂
‘https://www.tandfonline.com/doi/full/10.1080/21624887.2025.2454149
情报部门建议不要给微软政府云计算合同来存储敏感数据,但是嘿…随便吧。
科技兄弟起来吧!挂十和其他东西。
据说FBI领导层由于缺乏某些东西而完全无知。
https://www.theatlantic.com/ideas/archive/2025/07/trump-fbi-michael-feinberg/683685/
与傻瓜有效沟通(或不沟通)。
https://foreignpolicy.com/2025/07/03/us-intelligence-national-security-trump/
或者,这个故事也说了差不多的事情。
‘https://www.politico.com/news/2025/05/09/trump-intelligence-briefing-frequency-00338946
ResearcherZero • 2025年7月31日凌晨3:16
@lurker
从DOGE员工那里获取您的API密钥…
‘https://krebsonsecurity.com/2025/07/doge-denizen-marko-elez-leaked-api-key-for-xai/#more-71676
Coristine被授予了对NFC系统的访问密钥,没有任何安全控制。 😉
https://www.wired.com/story/edward-coristine-big-balls-doge-federal-pay-roll-system/
一位前CIA反恐分析师分享了他的想法…
https://slate.com/news-and-politics/2025/07/doge-workers-emergency.html
Bob Duncan • 2025年7月31日上午5:27
Hafnium集群及相关公司的入侵和数据收集能力。
Hafnium此前对Microsoft Exchange服务器进行了一系列攻击。
‘https://www.sentinelone.com/labs/chinas-covert-capabilities-silk-spun-from-hafnium/
科技公司作为前台运营,并扫描和研究漏洞。
https://nattothoughts.substack.com/p/hafnium-linked-hacker-xu-zewei-riding
来自中国黑客雇佣行业内科技公司的数据转储。
https://spycloud.com/blog/state-secrets-for-sale-chinese-hacking/
Clive Robinson • 2025年7月31日上午6:32
嗯,得到了“等待审核…”所以一点一点来。
第1部分,
@ ResearcherZero, ALL,
您提供的Bloomberg链接是付费墙后的,由于Bloomberg已知推送的无稽之谈,我怀疑许多人会认为“付费”属于“钱多没处花”的类别,即使他们的雇主或机构为他们或免费获取。
所以,关于微软MAPP转移的另一个链接,
微软似乎在推动的逻辑是,
-
补丁不可能那么快被逆向工程。
-
所以攻击者一定获得了给他们更多时间的知识。
-
我们可以责怪谁/什么来转移我们的责任?
将近二十年前,微软有一个非常真实的问题,就像他们今天一样。他们的营销驱动软件生产的方法论导致了许多“膨胀问题”。有些人可能称之为“技术债务的海啸”,这是有充分理由的。
Clive Robinson • 2025年7月31日上午6:37
第2部分,
“微软基础类”(MFC)for Windows的用户很清楚这个问题以及微软这样做的各种原因。然而,据说其中一个原因是为了迫使外部应用程序开发人员走“慢路径”,因此微软内部开发的应用程序使用不同的“短路径”,所以总是看起来更快。这催生了许多项目来寻找隐藏的API(是的,找到了一些)。
无论如何,使用DLL总是一种妥协,几乎总是有三个问题,
-
厨房水槽心态
-
样样通样样松的问题
-
过于复杂的接口
把所有的东西都扔进去“包括厨房水槽”从来不是一个好主意,因为您最终会得到非常高的“垃圾与使用”比率。
使其成为“一环”适用于无数使用不同编程语言和方法论的不同用户成为“样样通”…使DLL不仅“样样松”,而且具有大量从未经过适当测试的不必要的复杂性。
在那不必要的复杂性中隐藏着许多漏洞。更糟的是,因为DLL是“通用的”,所有应用程序都有相同的可重用漏洞代码。
Clive Robinson • 2025年7月31日上午6:39
第3部分
因此,需要进行更改,每个“补丁”都有影响不止一个应用程序等的危险。
因此,微软需要一种方法来提醒开发人员更改。所以他们开始了一系列“合作伙伴计划”来做这件事。
一旦您开始走这种兔子洞,您就会发现一个不幸的副作用…事情开始像兔子一样繁殖,尤其是“合作伙伴计划”。
所以一个出现的合作伙伴计划是“微软主动保护计划”(MAPP)。
此类计划的另一个问题是一旦开始,限制访问变得困难。也就是说,会员资格授予“地位”,从而能够增加利润。简而言之,“世界和他的狗”可以通过拉正确的绳子“提出理由”从而获得入场券。
正如我们从微软将整个NT OS代码库交给中国“业务”中所知,利润压倒了对“股东价值”的任何担忧。而微软作为行业旗舰,必须每个季度都超出预期,这实际上是不可能的,除非您经常做不太明智的事情。
其中一个目前让微软非常尴尬的是“中国开发人员开发美国国防部云代码”[1],
https://www.propublica.org/article/defense-department-pentagon-microsoft-digital-escort-china
您认为微软现在在解雇数千名美国员工的同时,还在搞多少其他“廉价劳动力噱头”?
Clive Robinson • 2025年7月31日上午6:41
第4部分,
业内众所周知,“印度编码人员的成本是美国编码人员的10%”,并且有许多机构在这方面大做文章。
虽然美国国防部“想要安全”,但国会“不愿为此付费”。
历史一再表明这一点。
所以Pete Hegseth夸夸其谈“他的机构将调查微软使用外国工程师帮助维护高度敏感的云系统”作为他的“转移”是很好的…
但历史表明,一旦责任被传递,就会回到正常的猪肉/油脂/游说,使山上的生物变胖。
如您所知,“转移游戏”是“热土豆游戏”的一种变体,因此微软反过来“转移”,依此类推,直到远离真正罪犯的某个下游的人被烧毁,除非他们放弃。
正如我们都知道的,很快MSM和行业媒体的目光就会转向别处,“ gravy train”将再次加速。
Clive Robinson • 2025年7月31日上午6:43
第5部分,
请注意,这个漏洞实际上在两个月前的一次黑客马拉松上“公开展示”“在舞台上”…
是的,这类事情的问题是它们“便宜行事”,微软只交了10万美元,而攻击向量的价值可能是其二十到一百倍。
那时感兴趣的人会看到足够的证据来指引他们正确的方向。也就是从那时起,球开始滚动。
Clive Robinson • 2025年7月31日上午6:44
第6部分,
硅谷巨头公司会停止“便宜行事”吗?当然不会,只要“美国梦”被教给幼儿。
漏洞赏金和黑客马拉松将继续存在,因为它们为巨头公司节省了数百万甚至数十亿的成本,否则他们必须支付…
[1] 有一个关于F35及其显著问题的笑话在流传。中国有一个“看起来很像”的飞机实际上在飞行和降落。笑话是美国国防部应该将F35外包给中国以节省时间和成本…看起来这个笑话有真实的牙齿…
ResearcherZero • 2025年8月1日凌晨1:05
@Clive Robinson
这提出了一个问题,如果我们未能承认从前几十年收集和评估的战略和政治情报,为什么我们需要新武器和技术的额外能力、后门和监视能力、AI分析等?
今天追求的许多军事战略只是在30年前提出的,以强调当时向政府发出的警告的重要性和意义。
当政府领导层终于意识到这些警告是正确的时,他们伸手到抽屉底部看看当时建议了什么。问题在于,那些建议是即兴言论,以震动领导层摆脱自满。
那些建议都没有经过研究或深思熟虑。没有采取任何情报行动,因为政府中没有人阅读报告或参加简报会。
今天做出的决定是由于恐慌,或古老的想法在没有任何政策领域正式培训或经验的人脑海中回荡。糟糕的决定往往比没有行动更糟。当它们受到外部影响驱动时,糟糕的决定更糟——旨在故意产生战略错误。
普京实现了苏联追求了一个世纪的美国外交政策变化!
俄罗斯和白俄罗斯欢呼USAID的解散
“大多数Operation Overload的帖子都没有结果,但一个设法钓到了政治世界最大的鱼之一…”
https://informedalarmist.substack.com/p/a-russian-fake-news-ring-was-struggling
ResearcherZero • 2025年8月1日凌晨1:17
@Clive Robinson
虽然您确实回答了这个问题:但历史表明,一旦责任被传递,就会回到正常的猪肉/油脂/游说,使山上的生物变胖。
与此同时,当国民警卫队被特朗普指示四处奔走协助DHS,并且DOGE一直在拆除所有美国内部安全控制时,中国已经探测了网络,收集了电子邮件和通信,然后准备利用一个处于混乱中的系统,其许多防御和响应能力缺失或未准备好。
这些信息将允许对合作伙伴和其他美国领土进行后续攻击。
‘https://www.documentcloud.org/documents/25998809-20250611-dhs-salt-typhoon/
1,462个网络设备配置文件被收获,以及凭据。
ResearcherZero • 2025年8月1日凌晨1:49
@Clive Robinson
微软在评论差异补丁需要多长时间之前,