防御ToolShell攻击：SharePoint最新高危漏洞

2025年7月22日

一种名为"ToolShell"(CVE-2025-53770)的新型零日漏洞正对本地部署的SharePoint服务器构成重大威胁。该漏洞允许未经认证的远程代码执行(RCE)，给全球组织带来重大风险。SentinelOne已检测到野外攻击活动，凸显了这一新攻击的活跃威胁。

ToolShell漏洞概述

ToolShell是影响本地SharePoint服务器的关键零日远程代码执行漏洞。其严重性体现在以下关键特征：

• 零日状态：此前未知且无补丁，使组织在官方修复前暴露
• 高CVSS评分(9.8)：表明近乎最高严重性
• 无需认证：攻击者无需有效凭证即可利用
• 远程代码执行(RCE)：成功利用可使攻击者在受影响的SharePoint服务器上执行任意代码
• 野外攻击：威胁分子已在积极利用此漏洞

SentinelOne的防御措施

SentinelOne的集成防护方法确保客户从一开始就受到保护：

1. 漏洞识别与分析：SentinelLABS威胁研究团队和MDR团队快速识别并深入分析漏洞
2. 开箱即用的检测逻辑：工程团队迅速开发并实施强健的检测逻辑
3. 无缝IOC集成：自动将发现的IOC集成到平台中
4. 威胁狩猎查询：为Singularity平台用户提供专用查询
5. 主动漏洞检测：通过Singularity漏洞管理检测环境中的ToolShell实例

防御建议

建议组织实施多层防御策略：

紧急缓解措施

• 隔离SharePoint实例：限制从公共互联网访问
• 启用AMSI完整模式
• 立即应用可用补丁

增强检测与监控

• 集成IOC指标
• 监控可疑SharePoint行为
• 进行回溯性威胁狩猎

结论

ToolShell是一个重大漏洞，使许多运行本地SharePoint服务器的组织面临巨大风险。SentinelOne客户可确信已受到保护，我们的威胁研究和MDR团队不懈努力，确保平台提供即时有效的防御。

威胁指标(IOC)

SHA-1哈希：

• f5b60a8ead96703080e73a1f79c3e70ff44df271 - spinstall0.aspx webshell
• fe3a3042890c1f11361368aeb2cc12647a6fdae1 - xxx.aspx webshell
• 76746b48a78a3828b64924f4aedca2e4c49b6735 - App_Web_spinstall0.aspx.9c9699a8.avz5nq6f.dll

IP地址：

• 96.9.125[.]147
• 107.191.58[.]76
• 104.238.159[.]149

平台检测规则

• LAYOUTS目录中的Web Shell创建
• 检测到LAYOUTS目录中的Web Shell文件
• SharePoint IIS工作进程产生的可疑子进程

威胁狩猎查询

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

//可疑SharePoint活动
dataSource.name = 'SentinelOne' and endpoint.os = "windows" and event.type = "Process Creation" 
and src.process.parent.name contains "svchost.exe" 
and src.process.name contains "w3wp.exe" 
and tgt.process.name contains "cmd.exe" 
and src.process.cmdline contains "SharePoint"

//spinstall0.aspx执行痕迹
dataSource.name = 'SentinelOne' and endpoint.os = "windows" 
and event.type = "Process Creation" 
and src.process.name contains "csc.exe" 
and tgt.file.path contains "App_Web_spinstall0.aspx"