摘要

微软已发现针对本地SharePoint服务器的活跃攻击活动，这些攻击利用了7月安全更新中部分解决的漏洞。微软发布了完全保护客户的安全更新，涵盖所有受CVE-2025-53770和CVE-2025-53771影响的SharePoint版本。客户应立即安装这些更新以确保防护。

这些漏洞仅影响本地SharePoint服务器，Microsoft 365中的SharePoint Online不受影响。

如何保护您的环境

使用SharePoint订阅版、SharePoint 2019或SharePoint 2016的客户应立即安装CVE-2025-53770和CVE-2025-53771中提供的安全更新以缓解漏洞。

产品安全更新链接

• Microsoft SharePoint Server订阅版：KB5002768
• Microsoft SharePoint Server 2019：KB5002754
• Microsoft SharePoint Server 2019语言包：KB5002753
• Microsoft SharePoint Server 2016：KB5002760
• Microsoft SharePoint Server 2016语言包：KB5002759

防护措施

1. 使用或升级到支持的本地Microsoft SharePoint Server版本

   • 支持版本：SharePoint Server 2016、2019和SharePoint订阅版

2. 确保防病毒扫描接口开启并正确配置

   • 在SharePoint中配置防病毒扫描接口集成
   • 如果可用HTTP请求体扫描，启用提供最全面保护的完整模式
   • 在所有SharePoint服务器上部署Microsoft Defender防病毒软件

3. 部署Microsoft Defender for Endpoint或等效解决方案

4. 轮换SharePoint Server ASP.NET机器密钥

   • 在安装最新安全更新或启用AMSI后，必须轮换SharePoint服务器ASP.NET机器密钥并在所有SharePoint服务器上重启IIS
   • 使用PowerShell命令：

     1 2	Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind> Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>

   • 轮换完成后使用iisreset.exe重启所有SharePoint服务器上的IIS

Microsoft Defender检测和防护

Microsoft Defender防病毒软件

提供针对此威胁相关组件和行为的检测和防护，检测名称包括：

• Exploit:Script/SuspSignoutReq.A
• Trojan:Win32/HijackSharePointServer.A
• Exploit:Script/SuspSignoutReqBody.A
• Trojan:PowerShell/MachineKeyFinder.DA!amsi

Microsoft Defender for Endpoint

提供可能指示与此威胁相关活动的警报：

• 可能的Web Shell安装
• SharePoint服务器漏洞可能被利用
• 可疑IIS工作进程行为
• IIS工作进程加载可疑.NET程序集
• SharePoint服务器上阻止’SuspSignoutReq’恶意软件
• SharePoint服务器上阻止’HijackSharePointServer’恶意软件

Microsoft Defender漏洞管理中的暴露映射

MDVM漏洞记录现在包含所有受影响SharePoint版本的CVSS评分和零日标志，包括SharePoint Server 2010和2013。

统一高级搜寻查询：

1
2

DeviceTvmSoftwareVulnerabilities
| where CveId in ("CVE-2025-49706","CVE-2025-53770")

高级搜寻

通过文件创建的成功利用（需要Microsoft 365 Defender）

查找spinstall0.aspx的创建，这表明CVE-2025-53770被成功利用后：

1
2
3
4
5

DeviceFileEvents
| where FolderPath has_any (@'microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS', @'microsoft shared\Web Server Extensions\15\TEMPLATE\LAYOUTS')
| where FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc

查找w3wp.exe生成涉及spinstall0文件或已知写入文件路径的编码PowerShell的进程创建：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

DeviceProcessEvents
| where InitiatingProcessFileName has "w3wp.exe"
 and InitiatingProcessCommandLine !has "DefaultAppPool"
 and FileName =~ "cmd.exe"
 and ProcessCommandLine has_all ("cmd.exe", "powershell")
 and ProcessCommandLine has_any ("EncodedCommand", "-ec")
| extend CommandArguments = split(ProcessCommandLine, " ")
| mv-expand CommandArguments to typeof(string)
| where CommandArguments matches regex "^[A-Za-z0-9+/=]{15,}$"
| extend B64Decode = replace("\\x00", "", base64_decodestring(tostring(CommandArguments)))  
| where B64Decode has_any ("spinstall0", @'C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\15\TEMPLATE\LAYOUTS', @'C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS')