微软SharePoint零日漏洞EXPLAINED — 黑客如何无需密码入侵
两个先前未知的Microsoft SharePoint Server(本地部署)零日漏洞正被作为高度协同的间谍活动的一部分在野外被积极利用。微软将这些攻击与中国背景的APT组织联系起来,全球至少有75个组织确认遭到入侵。
这些被标识为CVE-2025-53770和CVE-2025-53771的漏洞,使得未经身份验证的远程代码执行成为可能,让攻击者完全控制SharePoint服务器及更广泛的内部基础设施。
美国网络安全和基础设施安全局已发布紧急指令,要求所有联邦环境立即进行修补和威胁狩猎。
漏洞利用链的技术分析
漏洞机制
这两个CVE都源于对HTTP请求中SharePoint元数据的不当验证和不安全解析:
- CVE-2025-53770:利用格式错误的HTTP POST请求,导致SharePoint反序列化攻击者提供的对象。
- CVE-2025-53771:绕过权限检查,并通过权限配置错误触发后端服务提升。
该漏洞利用链使攻击者能够:
- 在SharePoint服务账户上下文中执行代码
- 投放Web Shell
- 窃取NTLM令牌、Cookie和数据
- 通过令牌模拟或凭证转储进行权限提升
漏洞利用流程(入侵剖析)
- 初始接触:攻击者针对暴露的SharePoint站点,向易受攻击的端点(例如
_layouts/15/)发送恶意的POST负载。 - 载荷投递:请求中包含嵌入的编码对象,触发不安全的反序列化,从而以系统级权限执行任意命令。
- 建立持久化:在SharePoint应用程序目录下部署Web Shell(如China Chopper或自定义投放器)。
- 内部侦察:攻击者使用WMI、PsExec或原生PowerShell进行横向移动。随后进行Active Directory域枚举和密钥提取。
- 数据外泄与清理:提取敏感文件和凭据,并通常使用混淆的批处理脚本或通过
wevtutil清除日志。
归因与威胁行为者行为
微软威胁情报部门将此攻击归因于三个中国国家支持的黑客组织:
| APT组织 | 活动摘要 |
|---|---|
| Storm-0866 | 自定义恶意软件工具包,并通过SharePoint实现高级持久化 |
| Storm-1200 | 在利用后使用Cobalt Strike和Mimikatz |
| Storm-1359 | 通过合法服务提供商针对法律和金融公司 |
观察到的战术包括:
- 使用“离地生存”二进制文件:
certutil、msbuild、powershell - 滥用服务令牌和SharePoint信任关系
- 部署内存驻留植入程序以规避终端检测与响应
全球影响
受害组织包括:
- 美国、欧洲和亚洲的政府部门
- 云基础设施和DevOps服务提供商
- 国家级律师事务所和金融行业参与者
已确认的入侵事件显示:
- 被盗的文档、密码和会话Cookie
- 令牌模拟导致更广泛的域沦陷
- 使用云连接器渗透到混合Azure-AD环境
入侵指标
文件痕迹:
- 位于
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\TEMPLATE\LAYOUTS\中的文件 - 意外的
.aspx或.cs页面 - SharePoint运行时密钥下的注册表修改
行为指标:
w3wp.exe生成powershell.exe或cmd.exemsbuild.exe建立出站连接- 向以
.cn、.tk结尾的域名或使用不常见ASN中的IP地址发送HTTP流量
防御建议
立即缓解措施:
- 立即部署微软2025年7月的SharePoint补丁
- 审查HTTP日志中针对
_layouts/15/的POST请求 - 审核管理员活动日志中的可疑对象创建或权限提升行为
加固措施:
- 将SharePoint管理接口访问限制在内部IP范围
- 对SharePoint访问强制实施多因素认证和条件访问
- 在所有
.aspx、.dll和配置文件上使用文件完整性监控 - 部署YARA或Sigma规则以检测内存中的Web Shell行为