摘要

微软发现针对本地部署SharePoint服务器的攻击活动，攻击者利用七月安全更新未完全修复的漏洞。现已发布全面防护CVE-2025-53770和CVE-2025-53771漏洞的安全更新，建议客户立即安装。

这些漏洞仅影响本地部署SharePoint服务器，Microsoft 365中的SharePoint Online不受影响。

SharePoint安全更新具有累积性。如果安装最新安全更新，则无需安装早期更新，但应同时安装SharePoint 2016和2019的更新程序。

已发布威胁情报博客，提供威胁参与者战术技术程序、入侵指标和环境中威胁搜寻指南：中断本地SharePoint漏洞的主动利用

为缓解潜在攻击，客户应：

• 使用受支持的本地SharePoint Server版本
• 安装上述最新安全更新
• 部署Microsoft Defender for Endpoint防护或等效威胁解决方案
• 确保反恶意软件扫描接口(AMSI)已开启并正确配置
• 轮换SharePoint Server ASP.NET机器密钥

如何保护环境

使用SharePoint Subscription Edition、SharePoint 2019或SharePoint 2016的客户应立即安装CVE-2025-53770和CVE-2025-53771提供的安全更新以缓解漏洞。

使用或升级到受支持的本地Microsoft SharePoint Server版本 受支持版本：SharePoint Server 2016、2019和SharePoint Subscription Edition

确保反恶意软件扫描接口已开启并正确配置 在SharePoint中配置反恶意软件扫描接口(AMSI)集成。如果可用HTTP请求体扫描，启用完整模式提供最全面保护，并在所有SharePoint服务器上部署Microsoft Defender Antivirus，阻止未经身份验证的攻击者利用此漏洞。

注意：AMSI集成在SharePoint Server 2016/2019的2023年9月安全更新和SharePoint Server Subscription Edition的23H2功能更新中默认启用。

如果无法启用AMSI，建议在安装最新安全更新前断开服务器与互联网的连接。如果服务器不能断开互联网连接，考虑使用需要身份验证的VPN或代理，或使用身份验证网关限制未经身份验证的流量。

部署Microsoft Defender for Endpoint或等效解决方案 建议部署Defender for Endpoint以检测和阻止攻击后活动。

轮换SharePoint Server ASP.NET机器密钥 客户在安装上述最新安全更新或启用AMSI后，必须轮换SharePoint服务器ASP.NET机器密钥并在所有SharePoint服务器上重启IIS。遵循改进的ASP.NET视图状态安全和密钥管理中的PowerShell指南。

使用PowerShell更新Web应用程序的机器密钥：

• 使用Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>生成机器密钥
• 使用Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>将机器密钥部署到场

轮换完成后，使用iisreset.exe在所有SharePoint服务器上重启IIS。

如果无法启用AMSI，需要在安装新安全更新后轮换密钥。

Microsoft Defender检测和防护

Microsoft Defender Antivirus

Microsoft Defender Antivirus提供针对此威胁相关组件和行为的检测和防护，检测名称包括：

• Exploit:Script/SuspSignoutReq.A
• Trojan:Win32/HijackSharePointServer.A
• Exploit:Script/SuspSignoutReqBody.A
• Trojan:PowerShell/MachineKeyFinder.DA!amsi

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint向客户提供可能指示与此威胁相关活动的警报。这些警报也可能由不相关的威胁活动触发。Microsoft Defender安全中心门户中的以下警报标题可能指示网络上的威胁活动：

• 可能的Web Shell安装
• SharePoint服务器漏洞的可能利用
• 可疑IIS工作进程行为
• IIS工作进程加载可疑.NET程序集
• 在SharePoint服务器上阻止’SuspSignoutReq’恶意软件
• 在SharePoint服务器上阻止’HijackSharePointServer’恶意软件

在Microsoft Defender漏洞管理中映射暴露情况

MDVM漏洞记录现在包括所有受影响SharePoint版本（包括SharePoint Server 2010和2013）的这两个漏洞的CVSS评分和零日标志。

浏览到漏洞管理▸软件漏洞并按漏洞标识符过滤，查看暴露设备、修复状态和利用证据标签。

统一高级搜寻查询：

1
2

DeviceTvmSoftwareVulnerabilities
| where CveId in ("CVE-2025-49706","CVE-2025-53770")

高级搜寻

在威胁情报博客中可找到在自有环境中进行威胁搜寻的额外指南：中断本地SharePoint漏洞的主动利用

以下示例查询让您搜索一周的事件。要检查网络中过去30天的事件并定位可能相关的指标，请转到高级搜寻页面>查询选项卡，选择日历下拉菜单将查询更新为搜寻过去30天。

要定位可能的利用活动，在Microsoft 365安全中心运行以下查询。

通过文件创建的成功利用（需要Microsoft 365 Defender） 查找spinstall0.aspx的创建，这表明CVE-2025-53770的成功攻击后利用。在Microsoft 365 Defender中运行查询：

1
2
3
4
5

DeviceFileEvents
| where FolderPath has_any (@'microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS', @'microsoft shared\Web Server Extensions\15\TEMPLATE\LAYOUTS')
| where FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc

查找w3wp.exe生成涉及spinstall0文件或已知写入文件路径的编码PowerShell的进程创建：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

DeviceProcessEvents
| where InitiatingProcessFileName has "w3wp.exe"
 and InitiatingProcessCommandLine !has "DefaultAppPool"
 and FileName =~ "cmd.exe"
 and ProcessCommandLine has_all ("cmd.exe", "powershell")
 and ProcessCommandLine has_any ("EncodedCommand", "-ec")
| extend CommandArguments = split(ProcessCommandLine, " ")
| mv-expand CommandArguments to typeof(string)
| where CommandArguments matches regex "^[A-Za-z0-9+/=]{15,}$"
| extend B64Decode = replace("\\x00", "", base64_decodestring(tostring(CommandArguments)))  
| where B64Decode has_any ("spinstall0", @'C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\15\TEMPLATE\LAYOUTS', @'C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS')