SharePoint漏洞CVE-2025-53770防护指南与检测方案

微软针对SharePoint Server本地部署版本漏洞CVE-2025-53770发布安全更新,提供防护措施、机器密钥轮换方案及Defender检测规则,包含高级狩猎查询和漏洞利用特征分析。

摘要

微软发现针对本地SharePoint Server客户的攻击活动,这些攻击利用了七月安全更新中部分修复的漏洞。微软已发布可完全防护CVE-2025-53770和CVE-2025-53771漏洞的安全更新,建议客户立即安装。这些漏洞仅影响本地SharePoint Server,Microsoft 365中的SharePoint Online不受影响。

防护措施

立即安装安全更新

为缓解漏洞风险,使用SharePoint订阅版、2019或2016的客户应立即安装CVE-2025-53770和CVE-2025-53771的安全更新:

产品 安全更新链接
SharePoint Server订阅版 KB5002768
SharePoint Server 2019 KB5002754
SharePoint Server 2019语言包 KB5002753
SharePoint Server 2016 KB5002760
SharePoint Server 2016语言包 KB5002759

环境防护配置

  1. 使用受支持的SharePoint Server版本:SharePoint Server 2016、2019和订阅版
  2. 启用反恶意软件扫描接口(AMSI):配置AMSI集成并启用完整模式,部署Microsoft Defender Antivirus
  3. 部署Microsoft Defender for Endpoint或等效威胁解决方案
  4. 轮换SharePoint Server ASP.NET机器密钥:应用安全更新或启用AMSI后,在所有SharePoint服务器上轮换机器密钥并重启IIS

Microsoft Defender检测与防护

Microsoft Defender Antivirus

提供以下检测名称的防护:

  • Exploit:Script/SuspSignoutReq.A
  • Trojan:Win32/HijackSharePointServer.A
  • Exploit:Script/SuspSignoutReqBody.A
  • Trojan:PowerShell/MachineKeyFinder.DA!amsi

Microsoft Defender for Endpoint

以下警报可能表明威胁活动:

  • 可能的Web Shell安装
  • SharePoint服务器漏洞可能被利用
  • 可疑的IIS工作进程行为
  • IIS工作进程加载了可疑的.NET程序集
  • 在SharePoint服务器上阻止了’SuspSignoutReq’恶意软件
  • 在SharePoint服务器上阻止了’HijackSharePointServer’恶意软件

高级狩猎

漏洞暴露映射

在MDVM中通过以下查询查看受影响设备:

1
2

DeviceTvmSoftwareVulnerabilities
| where CveId in ("CVE-2025-49706","CVE-2025-53770")

漏洞利用活动检测

查找可能的利用活动,运行以下查询:

文件创建检测

1
2
3
4
5

DeviceFileEvents
| where FolderPath has_any (@'microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS', @'microsoft shared\Web Server Extensions\15\TEMPLATE\LAYOUTS')
| where FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc

进程创建检测

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

DeviceProcessEvents
| where InitiatingProcessFileName has "w3wp.exe"
 and InitiatingProcessCommandLine !has "DefaultAppPool"
 and FileName =~ "cmd.exe"
 and ProcessCommandLine has_all ("cmd.exe", "powershell")
 and ProcessCommandLine has_any ("EncodedCommand", "-ec")
| extend CommandArguments = split(ProcessCommandLine, " ")
| mv-expand CommandArguments to typeof(string)
| where CommandArguments matches regex "^[A-Za-z0-9+/=]{15,}$"
| extend B64Decode = replace("\\x00", "", base64_decodestring(tostring(CommandArguments)))  
| where B64Decode has_any ("spinstall0", @'C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\15\TEMPLATE\LAYOUTS', @'C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS')

更多威胁狩猎指南请参考威胁情报博客:Disrupting active exploitation of on-premises SharePoint vulnerabilities

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次