SharePoint漏洞利用深度分析与检测指南

漏洞概述

CISA收到了六个与Microsoft SharePoint漏洞相关的文件：CVE-2025-49704 [CWE-94: 代码注入]、CVE-2025-49706 [CWE-287: 身份验证不当]、CVE-2025-53770 [CWE-502: 可信数据反序列化]和CVE-2025-53771 [CWE-287: 身份验证不当]。根据微软的信息，网络威胁参与者已将CVE-2025-49706（网络欺骗漏洞）和CVE-2025-49704（远程代码执行漏洞）串联在名为"ToolShell"的攻击链中，以未经授权访问本地SharePoint服务器。

技术分析

恶意文件分析

分析包含两个Base64编码的.NET动态链接库（DLL）二进制文件和四个Active Server Page Extended [ASPX]文件。解码后的DLL旨在检索ASP.NET应用程序配置中的机器密钥设置，并将检索到的机器密钥值添加到HTTP响应头中。

主要恶意组件：

• bjcloiyq.dll：64位.NET DLL，包含名为"E"的类，用于提取和连接ASP.NET应用程序配置中的机器密钥配置设置
• osvmhdfl.dll：32位.NET DLL，检索系统和环境信息以及机器密钥配置设置
• spinstall0.aspx：恶意ASPX文件，用于从System.Web.Configuration命名空间的"MachineKeySection"检索和输出机器密钥信息
• info3.aspx：包含命令行指令，用于执行PowerShell命令，解码并安装恶意ASPX webshell
• spinstallb.aspx 和 spinstallp.aspx：用于在服务器上使用PowerShell执行命令的webshell

攻击技术细节

攻击者利用漏洞链实现以下操作：

1. 机器密钥窃取：通过反射访问System.Web程序集中的"MachineKeySection"，获取用于ASP.NET中验证和解密的加密密钥
2. Webshell部署：通过PowerShell命令Base64解码并在磁盘上安装恶意ASPX webshell
3. 命令执行：webshell处理各种Web相关操作，包括设置和检索HTTP cookie、命令执行和文件上传
4. 数据外泄：将机器密钥配置信息作为自定义头"X-TXT-NET"添加到HTTP响应中

检测签名

报告提供了详细的YARA规则和SIGMA规则，用于检测相关恶意活动：

YARA规则示例：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

rule CISA_251132_01 : steals_authentication_credentials exfiltrates_data{
   meta:
      author = "CISA Code & Media Analysis"
      incident = "251132"
      date = "2025-07-21"
      description = "Detects Encoded .Net DLL samples"
   strings:
      $s0 = { 4E 62 32 52 6C 41 46 4E 30 63 6D 6C 75 5A 77 42 44 62 32 35 6A 59 58 51 }
      // 更多检测特征...
   condition:
      all of them
}

防护建议

CISA建议组织采取以下最佳实践来加强系统安全态势：

1. 保持防病毒签名和引擎最新
2. 及时更新操作系统补丁
3. 禁用文件和打印机共享服务（如必需，使用强密码或Active Directory身份验证）
4. 限制用户安装和运行不需要的软件应用程序的权限
5. 强制执行强密码策略并定期更改密码
6. 在打开电子邮件附件时保持谨慎
7. 在机构工作站上启用个人防火墙
8. 禁用机构工作站和服务器上不必要的服务
9. 扫描并删除可疑的电子邮件附件
10. 监控用户网络浏览习惯

威胁指标（IOCs）

报告提供了详细的文件哈希值、IP地址和检测规则，包括：

• 多个恶意文件的SHA256哈希值
• 相关恶意IP地址
• 详细的网络检测特征
• 文件路径和进程执行模式

组织应使用此恶意软件分析报告中的危害指标（IOCs）和检测签名来识别恶意软件样本，并参考CISA警报"Microsoft Releases Guidance on Exploitation of SharePoint Vulnerabilities"获取有关这些CVE的更多信息。