在最新一期的网络攻击系列报告中，我们深入分析了针对零售企业的真实攻击案例。数据显示，60%的零售企业报告因网络攻击导致业务中断，43%在过去一年遭遇安全泄露事件。本文揭示了一个单一警报如何发现重大持续性网络威胁的过程，攻击者如何利用未修复的SharePoint漏洞和泄露的身份凭证渗透网络，以及微软事件响应团队如何快速介入提供取证分析和行动指南。

事件经过

我们详细分析的事件分为两个部分：响应1和响应2。

响应1始于某零售客户收到名为"可能的网页木马安装"的Microsoft Defender Experts警报。调查发现其SharePoint服务器上存在恶意ASPX文件，与CVE-2025-49706和CVE-2025-49704漏洞相关。这些漏洞允许攻击者伪造身份并注入远程代码。

响应2始于单个身份凭证泄露。攻击者通过滥用自助密码重置功能获得持久性访问，并使用Microsoft Entra ID和Microsoft Graph API映射组织的身份结构。攻击者随后使用Azure虚拟桌面和远程桌面协议(RDP)提升访问权限，部署了PsExec和SQL Server Management Studio等工具，并使用Teleport、Azure CLI和Rsocx代理维持控制。随后进行了凭证操纵和目录探测，这些活动通过Entra ID风险事件得到确认。

微软响应措施

DART通过执行一系列全面行动迅速应对这两起安全事件，旨在恢复控制、遏制威胁并增强长期韧性。团队首先通过Active Directory接管和Entra ID隔离重新掌控身份系统；通过降低受损账户权限、撤销令牌识别并清除持久化机制来消除威胁行为者的访问权限；在数小时内检测并清除了恶意网页木马。

为调查和修复事件，微软在关键基础设施上部署了专有取证工具，实现根本原因分析和运营恢复。团队还指导受影响组织按照零信任原则增强安全配置，包括强制实施多因素认证。来自Defender和Microsoft Sentinel的威胁情报确认了系统性身份泄露，促使组织修补易受攻击系统并分阶段实施大规模密码重置。

客户防护建议

针对响应1案例，我们建议所有客户采取关键安全措施加固本地ShareSharePoint环境：

• 在所有设备部署端点检测与响应(EDR)方案
• 定期进行漏洞扫描
• 加强身份和访问控制
• 实施集中日志记录和威胁情报
• 维护健全的事件响应计划

及时修补已知漏洞仍是关键防御措施。定期执行安全卫生实践，如强制所有账户启用MFA、清理闲置凭证和实施最小权限原则，可实时提升防御能力。

网络攻击系列报告

通过我们的网络攻击系列报告，客户可以了解DART如何调查独特且显著的网络攻击。每个攻击故事都包含：攻击发生过程、安全泄露发现方式、微软调查和威胁清除过程，以及避免类似攻击的策略。

虽然本次攻击针对零售客户，但这些事件提醒所有客户：主动修补、身份分段和持续监控是防御现代网络威胁的基本安全实践。DART由高技能调查员、研究员、工程师和分析师组成，专门处理全球安全事件。我们在网络安全事件发生前、发生时和发生后都为客户提供专家支持。