防御ToolShell：SharePoint的最新高危漏洞

一种名为“ToolShell”（CVE-2025-53770）的新关键零日漏洞对本地SharePoint Server部署构成重大威胁。该漏洞允许未经身份验证的远程代码执行（RCE），对全球组织构成显著风险。SentinelOne已检测到在野利用，提升了这一新攻击的活跃威胁级别，组织需尽快采取缓解措施。

本文概述了防御ToolShell的方法，以及SentinelOne如何让您在这一关键漏洞面前保持领先。有关此威胁的全面技术分析，我们在SentinelOne博客上发布了详细分析。

什么是ToolShell？

ToolShell是一个影响本地SharePoint Server的关键零日远程代码执行漏洞。其严重性源于几个关键特征：

• 零日状态：此前未知且未修补，使组织在官方修复可用前暴露。
• 高CVSS评分（9.8）：表示近乎最高严重性，标志着一个高影响的关键漏洞。
• 无需身份验证：攻击者无需有效凭据即可利用ToolShell，使得入侵易受攻击系统极其容易。
• 远程代码执行（RCE）：成功利用使攻击者能够在受感染的SharePoint Server上执行任意代码，可能导致完全系统控制、数据泄露或进一步横向移动。
• 在野利用：威胁行为者已积极利用此漏洞，突显其直接和切实的危险。

SentinelOne对ToolShell的防御

在SentinelOne，我们对主动安全的承诺意味着我们不断努力识别和消除新兴威胁，如ToolShell，通常在它们成为广泛新闻之前。SentinelOne在漏洞公开宣布前两天就已意识到并努力保护客户免受ToolShell侵害。这种集成方法确保SentinelOne客户从一开始就受到保护：

• SentinelOne对漏洞的识别和分析：我们世界级的威胁研究团队SentinelLABS以及MDR团队迅速识别并深入技术分析了ToolShell漏洞。这种早期洞察对于制定有效对策至关重要。
• SentinelOne客户的即用检测逻辑：基于SentinelLABS的详细分析，我们的工程团队快速开发并实施了强大的即用检测逻辑，直接集成到SentinelOne平台。这意味着SentinelOne客户自动获得了针对ToolShell的保护。
• 无缝IOC集成：SentinelLABS识别的IOC自动集成到SentinelOne平台，增强了其在所有监控端点上检测和预防ToolShell相关活动的能力。
• Singularity平台用户的狩猎查询：对于利用SentinelOne Singularity Platform的安全团队，我们在下方以及此漏洞的技术分析中提供了特定狩猎查询。这些查询使安全分析师能够主动搜索环境中任何ToolShell活动的迹象，确保全面可见性并实现快速响应。
• 通过Singularity漏洞管理进行主动检测：使用Singularity漏洞管理的SentinelOne客户还可以检测环境中的ToolShell实例，使团队能够在活跃攻击中利用漏洞之前识别和缓解。

如何防御ToolShell

鉴于ToolShell的关键性质，我们强烈建议组织实施多层防御策略。主动措施对于降低妥协风险至关重要：

立即缓解和修补

• 将SharePoint实例与公共可用性隔离：尽可能限制从公共互联网访问本地SharePoint Server。这显著减少了攻击面。
• 在完整模式下启用反恶意软件扫描接口（AMSI）：反恶意软件扫描接口（AMSI）是一个接口标准，使SharePoint能够与端点保护解决方案的扫描功能集成。虽然AMSI在2023年9月的SharePoint更新中默认启用，但未配置此功能的组织应尽快启用集成。
• 立即应用可用补丁：Microsoft已发布安全更新以解决SharePoint订阅版和2019版的ToolShell问题。组织应优先并尽快部署这些补丁。

增强检测和监控

• 集成妥协指标（IOC）：SentinelLABS提供了与ToolShell利用相关的特定IOC，如下文和SentinelOne技术分析中详述。这些应迅速添加到您的EDR/XDR和SIEM工具集中，以检测环境中的潜在利用。鼓励SentinelOne客户启用已添加到平台检测库中的ToolShell平台检测规则。
• 监控可疑SharePoint行为：部署自定义检测规则以监控关键SharePoint目录，特别是LAYOUTS目录，以检测利用和后续Web Shell的存在。对于SentinelOne用户，相关规则在平台检测库中提供。
• 回溯性威胁狩猎：如果您当前运行本地SharePoint Server，强烈建议进行ToolShell利用的回溯性威胁狩猎。

结论

ToolShell代表了一个重大漏洞，使许多运行本地SharePoint Server的组织面临相当大的风险。未经身份验证的远程代码执行的可能性，加上观察到的在野利用，强调了组织采取果断行动以维持其安全态势的紧迫性。这包括勤奋应用补丁、实施强大监控以及利用高级威胁检测能力以降低风险。

对于SentinelOne客户，您可以放心，您受到保护。我们专门的威胁研究和MDR团队不懈努力，领先对手一步，确保我们的平台提供针对新兴威胁（如ToolShell）的即时有效防御。我们的主动识别、检测逻辑的快速部署以及持续的情报共享使我们的客户能够保持弹性安全态势。

立即联系SentinelOne，了解我们AI驱动的安全平台如何提供您的组织应得的全面保护和安心。不要等待下一个零日；立即保护您的未来。

妥协指标

SHA-1

• f5b60a8ead96703080e73a1f79c3e70ff44df271 – spinstall0.aspx webshell
• fe3a3042890c1f11361368aeb2cc12647a6fdae1 – xxx.aspx webshell
• 76746b48a78a3828b64924f4aedca2e4c49b6735 – App_Web_spinstall0.aspx.9c9699a8.avz5nq6f.dll, a compiled version of spinstall0.aspx

IP地址

• 96.9.125[.]147 – 来自“无shell”集群的攻击者IP
• 107.191.58[.]76 – 在spinstall0.aspx集群第一波中使用的攻击者IP
• 104.238.159[.]149 – 在spinstall0.aspx集群第二波中使用的攻击者IP

新SentinelOne平台检测规则

• LAYOUTS目录中的Web Shell创建
• LAYOUTS目录中检测到的Web Shell文件
• SharePoint IIS工作进程产生的可疑进程

SentinelOne平台狩猎查询

1
2
3
4
5
6
7

//可疑SharePoint活动

dataSource.name = 'SentinelOne' and endpoint.os = "windows" and event.type = "Process Creation" and src.process.parent.name contains "svchost.exe" and src.process.name contains "w3wp.exe" and tgt.process.name contains "cmd.exe" and src.process.cmdline contains "SharePoint"

//spinstall0.aspx执行痕迹

dataSource.name = 'SentinelOne' and endpoint.os = "windows" and event.type = "Process Creation" and src.process.name contains "csc.exe" and tgt.file.path contains "App_Web_spinstall0.aspx"

免责声明

本出版物中提到的所有第三方产品名称、徽标和品牌均为其各自所有者的财产，仅用于识别目的。使用这些名称、徽标和品牌并不意味着与第三方有关联、认可、赞助或关联。