SharePoint漏洞利用技术分析与防护指南

本文详细分析了CISA发布的SharePoint漏洞利用技术报告,涵盖CVE-2025-49704、CVE-2025-49706、CVE-2025-53770和CVE-2025-53771等多个高危漏洞,攻击者通过ToolShell攻击链获取本地SharePoint服务器未授权访问权限,并部署恶意ASPX网页后门。

分析报告

MAR-251132.c1.v1 SharePoint漏洞利用

摘要

CISA收到六个与Microsoft SharePoint漏洞相关的文件:CVE-2025-49704 [CWE-94: 代码注入]、CVE-2025-49706 [CWE-287: 身份验证不当]、CVE-2025-53770 [CWE-502: 可信数据反序列化]和CVE-2025-53771 [CWE-287: 身份验证不当]。根据微软信息,网络威胁行为者已将CVE-2025-49706(网络欺骗漏洞)和CVE-2025-49704(远程代码执行漏洞)串联在名为"ToolShell"的攻击链中,以获取本地SharePoint服务器的未授权访问权限。

分析包含两个Base64编码的.NET动态链接库(DLL)二进制文件和四个Active Server Page Extended [ASPX]文件。解码后的DLL设计用于检索ASP.NET应用程序配置中的机器密钥设置,并将检索到的机器密钥值添加到HTTP响应头中。

第一个ASPX文件用于从ASP.NET应用程序配置中检索和输出机器密钥信息。第二个ASPX文件包含用于执行PowerShell命令的命令行指令。该PowerShell命令设计用于Base64解码并在磁盘上安装恶意的ASPX网页后门。该网页后门用于处理各种Web相关操作,包括设置和检索HTTP cookie、命令执行和文件上传。其余两个ASPX网页后门用于在服务器上使用PowerShell执行命令。

技术细节

恶意文件分析

Base64编码的.NET DLL文件:

  • 文件设计用于提取和连接ASP.NET应用程序配置中的机器密钥设置
  • 使用反射访问System.Web程序集中的MachineKeySection
  • 构造包含ValidationKey、Validation、DecryptionKey、Decryption和CompatibilityMode属性的字符串
  • 将机器密钥信息作为自定义头"X-TXT-NET"添加到HTTP响应

ASPX网页后门功能:

  • 处理HTTP cookie设置和验证
  • 执行系统命令并通过cmd.exe捕获输出
  • 支持文件上传功能
  • 使用SHA512哈希和Base64编码进行身份验证
  • 采用XOR加密技术隐藏通信内容

攻击特征

YARA检测规则: 包含多个检测规则,针对编码的.NET DLL样本、ASPX有效载荷样本和网页后门样本,检测字符串包括特定的十六进制模式和技术特征。

SIGMA检测规则: 提供详细的检测规则,涵盖ToolShell CVE-2025-53770利用活动的IOC和活动特征,包括:

  • 特定的IP地址和用户代理字符串
  • PowerShell编码命令特征
  • 文件路径模式(如*/_layouts/15/spinstall0.aspx)
  • HTTP请求特征和特定参数

防护建议

CISA建议组织采取以下最佳实践来加强系统安全态势:

  1. 保持防病毒签名和引擎最新
  2. 及时更新操作系统补丁
  3. 禁用文件和打印机共享服务(如必需,请使用强密码或Active Directory身份验证)
  4. 限制用户安装和运行不需要的软件应用程序的权限
  5. 强制执行强密码策略并定期更改密码
  6. 在打开电子邮件附件时保持谨慎
  7. 在工作站上启用个人防火墙,配置为拒绝未经请求的连接请求
  8. 禁用工作站和服务器上不必要的服务
  9. 扫描并删除可疑的电子邮件附件
  10. 监控用户网页浏览习惯,限制访问不良内容网站

文件哈希值

提交的文件(6个):

  • 3461da3a2ddcced4a00f87dcd7650af48f97998a3ac9ca649d7ef3b7332bd997 (osvmhdfl.dll)
  • 60a37499f9b02c203af24c2dfd7fdb3834cea707c4c56b410a7e68376938c4b7 (stage3.txt)
  • 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 (spinstall0.aspx)
  • 9340bf7378234db5bca0dc5378bf764b6a24bb87a42b05fa21a996340608fbd7 (info3.aspx)
  • d0c4d6a4be0a65f8ca89e828a3bc810572fff3b3978ff0552a8868c69f83d170 (spinstallp.aspx)
  • d9c4dd5a8317d1d83b5cc3482e95602f721d58e3ba624d131a9472f927d33b00 (spinstallb.aspx)

附加文件(2个):

  • 675a10e87c248d0f629da864ba8b7fd92b62323c406a69dec35a0e6e1552ecbc (info3.aspx)
  • bee94b93c1796981a55d7bd27a32345a61304a88ed6cd70a5f7a402f1332df72 (bjcloiyq.dll)
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次