SharePoint ‘ToolShell’漏洞在野利用 – Sophos新闻
2025年7月18日,Sophos MDR(托管检测与响应)分析师观察到针对本地SharePoint实例的恶意活动激增,包括在多个资产中执行的恶意PowerShell命令。进一步分析确定这些事件很可能是利用"ToolShell"进行主动恶意部署的结果。
随着事件发展和理解深入,我们将更新此页面,包括我们的威胁和检测指南。
更新记录:
- 2025年7月22日 21:48 UTC:确认最早利用时间为7月17日
- 2025年7月22日 16:23 UTC:关于首次已知利用的信息(“我们观察到的情况”)和攻击活动的进一步细节/澄清;防护措施的更多细节(“应对措施”),以及公开概念验证的发布(“后续发展”)
技术背景
ToolShell统指两个SharePoint漏洞的链式利用:CVE-2025-49704和CVE-2025-49706。该漏洞利用在2025年5月柏林Pwn2Own活动中公开,微软在7月补丁星期二发布中为这两个漏洞提供了补丁。
然而,威胁行为者实际上正在使用ToolShell来利用一个新的0day漏洞,导致发布了两个新的CVE-ID:CVE-2025-53770和CVE-2025-53771。
我们观察到的情况
Sophos MDR观察到的恶意PowerShell命令在受影响的SharePoint服务器上的以下路径投放恶意aspx文件:
|
|
在Sophos最近观察到的案例中,攻击者使用webshell来获取机器的加密密钥,当写入磁盘时被检测为Troj/WebShel-P。一旦获取,这些密钥可以被名为SharpViewStateShell的工具用于远程代码执行。info3.aspx webshell提供传统的直接功能,如远程命令执行和文件上传。
从7月21日开始,我们还观察到变体spinstallp.aspx和spinstallb.aspx,它们使用硬编码的XOR密钥作为密码,从请求表单字段运行Base64编码的PowerShell命令。我们预计随着更多威胁行为者试图利用该漏洞,将会出现更多的工具和技术。
在某些情况下,当威胁行为者的webshell未被检测到且他们试图访问机器密钥(ValidationKey和DecryptionKey)时,Sophos保护Access_3b会作为另一层行为控制被触发。如果机器密钥被泄露,有必要按照微软提供的指导轮换这些密钥。
虽然遥测数据显示大规模利用开始于2025年7月18日,可能对应于自动化利用尝试,但Sophos威胁研究人员在7月17日08:19 UTC注意到针对中东客户的早期攻击活动。我们观察到的活动表明威胁行为者在受攻击的服务器上运行发现命令,我们的行为保护阻止了该活动。
执行的命令为:
|
|
这与SentinelOne的报告一致(相同的命令和文件夹,尽管文件名不同)。进一步分析显示,针对组织SharePoint服务器上以下URI的相应恶意POST命令成功:/_layouts/15/ToolPane.aspx。
更广泛地说,迄今为止,Sophos已观察到84个独特的客户组织成为目标,遍布21个国家和所有地理区域。涉及的行业分布也很广泛,主要集中在教育、政府、服务和运输领域。
应对措施
建议运行本地SharePoint实例的客户应用微软的官方补丁,并遵循提供的缓解建议。无论出于何种原因无法打补丁的用户应考虑暂时将实例离线。
截至7月21日,SharePoint Enterprise Server 2016和SharePoint Server 2019的补丁现已可用。
此外,我们建议用户检查上述文件是否存在,如果存在,请删除它们。应告知用户可能存在Sophos尚未观察到的其他变体;此列表不应被视为完整列表。
Sophos提供以下保护:
- Access_3b:行为规则,保护面向公众的服务器免受攻击
- Persist_26c:行为规则,防止通过写入磁盘的webshell执行lolbin
- Troj/Webshel-P:防止针对易受攻击的SharePoint安装的攻击中部署的常见ASP webshell
- Troj/ASPDmp-A:防止提取和转储机器密钥的ASP
- AMSI/ASPDmp-A:作为AMSI保护的一部分,阻止尝试投放恶意aspx文件
后续发展
Sophos MDR将继续主动监控与此漏洞相关的利用后活动迹象。值得注意的是,现在有一个公开的概念验证漏洞利用,因此我们可能在未来几天和几周内看到这种攻击的新变体。随着进一步相关信息的出现,我们将在此页面上发布更新。