破坏本地SharePoint漏洞的活跃利用 | 微软安全博客

2025年7月23日更新 – 扩展了我们对Storm-2603持续利用活动导致Warlock勒索软件部署的分析和威胁情报。基于新信息，我们更新了归因、危害指标（IOC），扩展并澄清了缓解和保护指南（包括强调步骤6：重启IIS）、检测和狩猎部分。

2025年7月19日，微软安全响应中心（MSRC）发布了一篇博客，解决了针对本地SharePoint服务器的活跃攻击，这些攻击利用了CVE-2025-49706（欺骗漏洞）和CVE-2025-49704（远程代码执行漏洞）。这些漏洞仅影响本地SharePoint服务器，不影响Microsoft 365中的SharePoint Online。微软已为所有受支持的SharePoint Server版本（订阅版、2019和2016）发布了新的全面安全更新，以保护客户免受这些新漏洞的影响。客户应立即应用这些更新以确保受到保护。

这些全面安全更新解决了CVE-2025-53770中新披露的安全漏洞，这些漏洞与先前披露的漏洞CVE-2025-49704相关。更新还解决了先前披露的CVE-2025-49706的安全绕过漏洞CVE-2025-53771。

截至本文撰写时，微软已观察到两个命名的中国国家级攻击者Linen Typhoon和Violet Typhoon利用这些漏洞针对面向互联网的SharePoint服务器。此外，我们还观察到另一个基于中国的威胁行为者Storm-2603利用这些漏洞部署勒索软件。对其他行为者使用这些漏洞的调查仍在进行中。随着这些漏洞利用的快速采用，微软高度自信地评估威胁行为者将继续将它们整合到针对未打补丁的本地SharePoint系统的攻击中。本博客分享了观察到的CVE-2025-49706和CVE-2025-49704利用细节以及威胁行为者的后续战术、技术和程序（TTPs）。随着调查的继续，我们将更新本博客。

微软建议客户使用受支持的本地SharePoint服务器版本并应用最新的安全更新。为了阻止未经身份验证的攻击利用此漏洞，客户还应集成并启用反恶意软件扫描接口（AMSI）和Microsoft Defender防病毒（或等效解决方案）用于所有本地SharePoint部署，并配置AMSI以启用完整模式，如下文缓解部分所述。客户还应轮换SharePoint服务器ASP.NET机器密钥，重启Internet Information Services（IIS），并部署Microsoft Defender for Endpoint或等效解决方案。

产品	安全更新链接
Microsoft SharePoint Server订阅版	Microsoft SharePoint Server订阅版安全更新（KB5002768）
Microsoft SharePoint Server 2019（两个更新都应安装）	Microsoft SharePoint 2019安全更新（KB5002754） Microsoft SharePoint Server 2019语言包安全更新（KB5002753）
Microsoft SharePoint Server 2016（两个更新都应安装）	Microsoft SharePoint Enterprise Server 2016安全更新（KB5002760） Microsoft SharePoint Enterprise Server 2016语言包安全更新（KB5002759）

观察到的战术和技术

微软观察到多个威胁行为者通过向ToolPane端点发送POST请求进行侦察并尝试利用本地SharePoint服务器。

图1. 向ToolPane端点发送POST请求

利用后活动

成功针对易受攻击的本地SharePoint服务器执行身份验证绕过和远程代码执行利用的威胁行为者被观察到在其利用后负载中使用Web shell。

Web shell部署

在观察到的攻击中，威胁行为者向SharePoint服务器发送精心制作的POST请求，上传名为spinstall0.aspx的恶意脚本。行为者还以各种方式修改文件名，如spinstall.aspx、spinstall1.aspx、spinstall2.aspx等。spinstall0.aspx脚本包含检索MachineKey数据并通过GET请求将结果返回给用户的命令，使威胁行为者能够窃取密钥材料。

归因

早在2025年7月7日，微软分析表明威胁行为者试图利用CVE-2025-49706和CVE-2025-49704获得对目标组织的初始访问权限。这些行为者包括中国国家级行为者Linen Typhoon和Violet Typhoon以及另一个基于中国的行为者Storm-2603。这些漏洞利用攻击中采用的TTPs与这些威胁行为者先前观察到的活动一致。

Linen Typhoon

自2012年以来，Linen Typhoon专注于窃取知识产权，主要针对与政府、国防、战略规划和人权相关的组织。该威胁行为者以使用驱动式漏洞利用而闻名，并历来依赖现有漏洞利用来危害组织。

Violet Typhoon

自2015年以来，Violet Typhoon活动组致力于间谍活动，主要针对美国、欧洲和东亚的前政府和军事人员、非政府组织（NGOs）、智库、高等教育、数字和印刷媒体、金融和健康相关行业。该组持续扫描目标组织暴露的Web基础设施中的漏洞，利用发现的弱点安装Web shell。

Storm-2603

微软追踪为Storm-2603的组被评估为基于中国的威胁行为者，置信度为中等。微软未发现Storm-2603与其他已知中国威胁行为者之间的联系。微软追踪此威胁行为者与尝试使用本地SharePoint漏洞窃取MachineKeys相关。尽管微软过去观察到该威胁行为者部署Warlock和Lockbit勒索软件，但微软目前无法自信地评估该威胁行为者的目标。从2025年7月18日开始，微软观察到Storm-2603使用这些漏洞部署勒索软件。

初始访问和投递

观察到的攻击始于利用面向互联网的本地SharePoint服务器，使Storm-2603使用本博客前面描述的spinstall0.aspx负载获得对环境的初始访问权限。此初始访问用于使用支持SharePoint的w3wp.exe进程执行命令。Storm-2603然后启动一系列发现命令，包括whoami，以枚举用户上下文并验证权限级别。还观察到使用cmd.exe和批处理脚本，因为行为者过渡到更广泛的执行阶段。值得注意的是，services.exe被滥用通过直接注册表修改禁用Microsoft Defender保护。

持久性

Storm-2603通过多种机制建立持久性。除了spinstall0.aspx Web shell外，威胁行为者还创建计划任务并操纵Internet Information Services（IIS）组件以加载可疑的.NET程序集。这些操作确保即使初始向量被修复，也能持续访问。

目标行动

威胁行为者使用Mimikatz执行凭据访问，特别针对本地安全机构子系统服务（LSASS）内存以提取明文凭据。行为者使用PsExec和Impacket工具包横向移动，使用Windows管理规范（WMI）执行命令。

然后观察到Storm-2603修改组策略对象（GPO）以在受感染环境中分发Warlock勒索软件。

图2. Storm-2603利用SharePoint漏洞并导致勒索软件的攻击链

其他行为者将继续使用这些漏洞利用针对未打补丁的本地SharePoint系统，进一步强调组织立即实施缓解措施和安全更新的必要性。

缓解和保护指南

微软已发布安全更新，全面保护使用所有受CVE-2025-53770和CVE-2025-53771影响的SharePoint版本的客户。客户应立即应用这些更新。

使用SharePoint Server的客户应遵循以下指南。

使用或升级到受支持的本地Microsoft SharePoint Server版本。
- 受支持版本：SharePoint Server 2016、2019和SharePoint订阅版
应用最新的安全更新。
确保反恶意软件扫描接口已打开并正确配置，并在所有SharePoint服务器上部署Defender防病毒软件
- 在SharePoint中配置反恶意软件扫描接口（AMSI）集成，启用完整模式以获得最佳保护，并在所有SharePoint服务器上部署Defender防病毒软件，这将阻止未经身份验证的攻击者利用此漏洞。
- 注意：AMSI集成在2023年9月的SharePoint Server 2016/2019安全更新和SharePoint Server订阅版的23H2功能更新中默认启用。
- 如果无法启用AMSI，我们建议您考虑将服务器与互联网断开连接，直到应用了上述最新安全更新。如果服务器无法与互联网断开连接，请考虑使用需要身份验证的VPN或代理或身份验证网关以限制未经身份验证的流量。
部署Microsoft Defender for Endpoint或等效解决方案
- 我们建议组织部署Defender for Endpoint以检测和阻止利用后活动。
轮换SharePoint Server ASP.NET机器密钥
- 在应用上述最新安全更新或启用AMSI后，客户轮换SharePoint服务器ASP.NET机器密钥并在所有SharePoint服务器上重启Internet Information Services（IIS）至关重要。
  - 使用PowerShell手动操作
    - 要使用PowerShell更新机器密钥，请使用Set-SPMachineKey cmdlet。
  - 使用中央管理手动操作：通过执行以下步骤触发机器密钥轮换计时器作业：
    - 导航到中央管理站点。
    - 转到监控 -> 查看作业定义。
    - 搜索机器密钥轮换作业并选择立即运行。
使用iisreset.exe在所有SharePoint服务器上重启IIS。注意：如果无法启用AMSI，您需要在安装新安全更新后轮换密钥并重启IIS。
实施您的事件响应计划。

为了保护免受利用后活动（包括勒索软件部署）的影响，微软建议以下缓解措施：

在Microsoft Defender防病毒软件或等效的防病毒产品中启用云提供的保护，以覆盖快速演变的攻击者工具和技术。基于云的机器学习保护阻止绝大多数新的和未知的变体。
阅读我们的人工操作勒索软件博客，获取关于开发整体安全态势以防止勒索软件的建议，包括凭据卫生和强化建议。
在阻止模式下运行端点检测和响应（EDR），以便Microsoft Defender for Endpoint – 或等效的EDR解决方案 – 可以阻止恶意工件，即使您的非Microsoft防病毒软件未检测到威胁或当Microsoft Defender防病毒软件在被动模式下运行时。阻止模式下的EDR在后台工作以修复检测到的违规后恶意工件。
在Microsoft Defender XDR中配置自动攻击中断。自动攻击中断旨在遏制进行中的攻击，限制对组织资产的影响，并为安全团队提供更多时间以完全修复攻击。
启用LSA保护。
启用并配置凭据保护。
确保在Microsoft Defender for Endpoint中启用篡改保护。
启用受控文件夹访问。
Microsoft Defender客户可以打开攻击面减少规则以防止常见攻击技术。攻击面减少规则是全面的设置，可以阻止整个类别的威胁。以下要点提供了关于特定缓解建议的更多指导：
- 使用高级保护 against勒索软件。
- 阻止从Windows本地安全机构子系统窃取凭据。
- 阻止源自PSExec和WMI命令的进程创建。

危害指标

指标	类型	描述
Spinstall0.aspx	文件名	威胁行为者使用的Web shell 行为者还以各种方式修改文件名 – 如spinstall.aspx、spinstall1.aspx、spinstall2.aspx
IIS_Server_dll.dll	文件名	Storm-2603 IIS后门
SharpHostInfo.x64.exe	文件名	攻击期间观察到的用于使用NetBIOS、SMB和WMI收集主机信息的渗透测试工具
xd.exe	文件名	用于连接到C2 IP 65.38.121[.]198的快速反向代理工具
debug_dev.js	文件名	包含Web配置数据的文件，包括MachineKey数据
\1[5-6]\TEMPLATE\LAYOUTS\debug_dev.js	文件路径	被盗Web配置的文件路径
92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514	SHA-256	spinstall0.aspx的哈希
24480dbe306597da1ba393b6e30d542673066f98826cc07ac4b9033137f37dbf	SHA-256	利用http和curl从Storm-2603 C2“update[.]updatemicfosoft[.]com”接收和执行命令的Web shell
b5a78616f709859a0d9f830d28ff2f9dbbb2387df1753739407917e96dadf6b0	SHA-256	利用套接字和DNS从Storm-2603 C2“update[.]updatemicfosoft[.]com”接收和执行命令的Web shell
c27b725ff66fdfb11dd6487a3815d1d1eba89d61b0e919e4d06ed3ac6a74fe94	SHA-256	利用套接字和DNS从Storm-2603 C2“update[.]updatemicfosoft[.]com”接收和执行命令的Web shell
1eb914c09c873f0a7bcf81475ab0f6bdfaccc6b63bf7e5f2dbf19295106af192	SHA-256	利用套接字和DNS从Storm-2603 C2“update[.]updatemicfosoft[.]com”接收和执行命令的Web shell
4c1750a14915bf2c0b093c2cb59063912dfa039a2adfe6d26d6914804e2ae928	SHA-256	观察到的IIS_Server_dll.dll（Storm-2603 IIS后门）的哈希
83705c75731e1d590b08f9357bc3b0f04741e92a033618736387512b40dab060	SHA-256	观察到的IIS_Server_dll.dll（Storm-2603 IIS后门）的哈希
f54ae00a9bae73da001c4d3d690d26ddf5e8e006b5562f936df472ec5e299441	SHA-256	观察到的IIS_Server_dll.dll（Storm-2603 IIS后门）的哈希
b180ab0a5845ed619939154f67526d2b04d28713fcc1904fbd666275538f431d	SHA-256	观察到的IIS_Server_dll.dll（Storm-2603 IIS后门）的哈希
6753b840cec65dfba0d7d326ec768bff2495784c60db6a139f51c5e83349ac4d	SHA-256	观察到的IIS_Server_dll.dll（Storm-2603 IIS后门）的哈希
7ae971e40528d364fa52f3bb5e0660ac25ef63e082e3bbd54f153e27b31eae68	SHA-256	观察到的IIS_Server_dll.dll（Storm-2603 IIS后门）的哈希
567cb8e8c8bd0d909870c656b292b57bcb24eb55a8582b884e0a228e298e7443	SHA-256	观察到的IIS_Server_dll.dll（Storm-2603 IIS后门）的哈希
445a37279d3a229ed18513e85f0c8d861c6f560e0f914a5869df14a74b679b86	SHA-256	观察到的IIS_Server_dll.dll（Storm-2603 IIS后门）的哈希
ffbc9dfc284b147e07a430fe9471e66c716a84a1f18976474a54bee82605fa9a	SHA-256	观察到的IIS_Server_dll.dll（Storm-2603 IIS后门）的哈希
6b273c2179518dacb1218201fd37ee2492a5e1713be907e69bf7ea56ceca53a5	SHA-256	观察到的IIS_Server_dll.dll（Storm-2603 IIS后门）的哈希
c2c1fec7856e8d49f5d49267e69993837575dbbec99cd702c5be134a85b2c139	SHA-256	观察到的IIS_Server_dll.dll（Storm-2603 IIS后门）的哈希
6f6db63ece791c6dc1054f1e1231b5bbcf6c051a49bad0784569271753e24619	SHA-256	观察到的IIS_Server_dll.dll（Storm-2603 IIS后门）的哈希
d6da885c90a5d1fb88d0a3f0b5d9817a82d5772d5510a0773c80ca581ce2486d	SHA-256	SharpHostInfo.x64.exe的哈希
62881359e75c9e8899c4bc9f452ef9743e68ce467f8b3e4398bebacde9550dea	SHA-256	xd.exe的哈希
c34718cbb4c6.ngrok-free[.]app/file.ps1	URL	提供PowerShell到C2的Ngrok隧道
msupdate[.]updatemicfosoft[.]com	URL	Storm-2603的C2域
131.226.2[.]6	IP	利用后C2
134.199.202[.]205	IP	利用SharePoint漏洞的IP地址
104.238.159

揭秘本地SharePoint漏洞的活跃利用与防御策略

微软安全团队披露了针对本地SharePoint服务器的CVE-2025-49706和CVE-2025-49704漏洞的活跃攻击，涉及中国国家级攻击者和勒索软件部署，提供了详细的技术分析、IOC指标和防御指南。