概述
FortiGuard Labs已检测并成功阻止了数百次针对本地Microsoft SharePoint服务器中新发现的零日漏洞链的攻击尝试。这一活跃攻击活动被多个威胁行为者利用,对政府、教育、医疗和大型企业等多个行业构成重大风险。
漏洞详情
常见漏洞与暴露(CVE)
- CVE-2025-49706
- CVE-2025-49704
- CVE-2025-53770
- CVE-2025-53771
背景分析
这些漏洞,特别是当串联在一起时,允许未经身份验证的远程攻击者在易受攻击的SharePoint实例上获得未授权访问并执行任意命令。研究人员将该攻击命名为ToolShell,该攻击将两个先前已处理的漏洞(CVE-2025-49704和CVE-2025-49706)串联成新的零日变体(CVE-2025-53770和CVE-2025-53771)。
截至本文撰写时,微软已观察到两个被命名的中国国家级行为者——Linen Typhoon和Violet Typhoon正在利用这些漏洞。微软已发布安全更新,全面保护使用所有受支持版本SharePoint的客户免受CVE-2025-53770和CVE-2025-53771的影响,并高度确信威胁行为者将继续将这些漏洞集成到针对未打补丁的本地SharePoint系统的攻击中。
威胁指标
总体评分:4.4
- CVSS评分:9.8
- FortiRecon评分:93/100
- 已知被利用:是
- 漏洞利用预测评分:86.41%
- FortiGuard遥测:9954
最新动态
- 8月13日:Shadowserver报告仍有超过29,000台Exchange服务器未针对CVE-2025-53786潜在攻击打补丁
- 8月6日:CISA发布恶意软件分析报告,包含与Microsoft SharePoint漏洞相关文件的分析和检测签名
- 7月31日:Palo Alto Unit 42观察到ToolShell被用于勒索软件攻击
- 7月25日:FortiGuard Labs发布威胁博客,披露新的IOC指标
- 7月22日:CISA将两个新漏洞添加到已知被利用漏洞目录
防护措施
FortiGuard客户受到多层防御保护,但仍强烈建议立即为所有受影响的SharePoint实例打补丁。FortiGuard事件响应团队可协助处理任何可疑的安全事件。
威胁情报
威胁行为者档案:Storm-2603 Storm-2603是一个可能基于中国的威胁行为者,因其复杂的出于经济动机的网络攻击而受到关注。该组织最著名的是使用ToolShell漏洞利用链,利用多个漏洞实现对本地Microsoft SharePoint服务器的未授权访问。
攻击技术:
- DLL侧加载
- DLL劫持
- AK47 C2框架
- BYOVD(自带易受攻击驱动程序)
安全建议
为缓解此威胁,请将最新的安全更新应用到受影响的本地SharePoint服务器版本,并遵循推荐的最佳实践。FortiGuard提供全面的网络安全框架,包括保护、检测、响应、恢复和识别等多个层面的安全服务。