防御ToolShell：SharePoint的最新高危漏洞

一种名为"ToolShell"（CVE-2025-53770）的新型关键零日漏洞对本地部署的SharePoint服务器构成重大威胁。该漏洞支持未经认证的远程代码执行，给全球组织带来显著风险。SentinelOne已检测到该漏洞的在野利用，提升了这一新攻击的活跃威胁级别，组织需尽快采取缓解措施。

什么是ToolShell？

ToolShell是影响本地SharePoint服务器的关键零日远程代码执行漏洞，其严重性源于以下关键特征：

• 零日状态：此前未知且未打补丁，使组织在官方修复前暴露于风险中
• 高CVSS评分（9.8）：近乎最高严重级别，表明是关键性高危漏洞
• 无需认证：攻击者无需有效凭证即可利用，极易攻陷脆弱系统
• 远程代码执行：成功利用可让攻击者在受控SharePoint服务器上执行任意代码，可能导致完全系统控制、数据泄露或横向移动
• 在野利用：威胁行为体已积极利用此漏洞，凸显其即时实质性危险

SentinelOne的ToolShell防御方案

SentinelOne通过集成方法确保客户从一开始就受到保护：

• 漏洞识别与分析：SentinelLABS威胁研究团队和MDR团队快速识别并进行深入技术分析
• 开箱即用检测逻辑：工程团队基于分析结果快速开发并实施检测逻辑
• 无缝IOC集成：SentinelLABS识别的IOC自动集成到平台中
• 狩猎查询支持：为Singularity平台用户提供特定狩猎查询
• 漏洞管理主动检测：通过Singularity漏洞管理检测环境中的ToolShell实例

如何防御ToolShell

建议组织实施多层防御策略：

即时缓解与补丁

• 将SharePoint实例与公网隔离
• 在完整模式下启用反恶意软件扫描接口
• 立即应用可用补丁

增强检测与监控

• 集成威胁指标到EDR/XDR和SIEM工具
• 监控可疑SharePoint行为，特别是LAYOUTS目录
• 进行回溯性威胁狩猎

威胁指标

SHA-1

• f5b60a8ead96703080e73a1f79c3e70ff44df271 – spinstall0.aspx网页外壳
• fe3a3042890c1f11361368aeb2cc12647a6fdae1 – xxx.aspx网页外壳

IP地址

• 96.9.125[.]147 – 攻击者IP
• 107.191.58[.]76 – spinstall0.aspx集群第一波攻击IP

新检测规则

• LAYOUTS目录中的网页外壳创建
• LAYOUTS目录中检测到网页外壳文件
• SharePoint IIS工作进程产生的可疑进程

狩猎查询

1
2
3
4

//可疑SharePoint活动
dataSource.name = 'SentinelOne' and endpoint.os = "windows" and event.type = "Process Creation" 
and src.process.parent.name contains "svchost.exe" and src.process.name contains "w3wp.exe" 
and tgt.process.name contains "cmd.exe" and src.process.cmdline contains "SharePoint"

ToolShell代表了重大安全威胁，组织需通过及时打补丁、实施强健监控和利用高级威胁检测能力来维护安全态势。