SharePoint “ToolShell"漏洞在野利用分析
事件概述
2025年7月18日,Sophos MDR(托管检测与响应)分析师观察到针对本地SharePoint实例的恶意活动激增,包括在多个环境中执行的恶意PowerShell命令。深入分析确认这些事件很可能是攻击者主动利用"ToolShell"漏洞链的结果。
漏洞背景
“ToolShell"指两个SharePoint漏洞的链式利用:CVE-2025-49704和CVE-2025-49706。该漏洞利用在2025年5月柏林Pwn2Own活动中首次披露,微软已在7月补丁星期二发布修复补丁。但威胁攻击者实际利用的是新的0day漏洞,导致两个新CVE编号发布:CVE-2025-53770和CVE-2025-53771。
攻击活动分析
攻击技术细节
观察到的恶意PowerShell命令在受影响的SharePoint服务器以下路径投放恶意aspx文件:
|
|
WebShell利用方式
- info3.aspx: 提供传统远程命令执行和文件上传功能
- spinstallp.aspx/spinstallb.aspx: 使用硬编码XOR密钥作为密码,从请求表单字段运行Base64编码的PowerShell命令
- 攻击者使用SharpViewStateShell工具进行远程代码执行
攻击范围
- 最早攻击记录:7月17日08:19 UTC(中东地区客户)
- 大规模利用开始:7月18日
- 受影响范围:21个国家/地区的84个独特客户组织
- 主要受影响行业:教育、政府、服务和运输
防护建议
立即行动
- 应用官方补丁:微软已为SharePoint Enterprise Server 2016和2019提供补丁
- 检查恶意文件:扫描并移除文中提到的恶意aspx文件
- 密钥轮换:若机器密钥(ValidationKey和DecryptionKey)已泄露,按微软指南进行轮换
Sophos防护方案
- Access_3b: 行为规则,防护面向公众服务器的攻击
- Persist_26c: 行为规则,防护通过磁盘写入WebShell的lolbin执行
- Troj/Webshel-P: 防护针对脆弱SharePoint安装的常见ASP WebShell
- Troj/ASPDmp-A: 防护提取和转储机器密钥的ASP
- AMSI/ASPDmp-A: AMSI保护组件,阻止投放恶意aspx文件
后续展望
随着公开概念验证(PoC)漏洞利用的出现,预计未来几天和几周会出现新的攻击变种。Sophos MDR将持续监控与此漏洞相关的后利用活动,并在此页面发布更新信息。
注意:根据微软说明,Microsoft 365中的SharePoint Online不受影响,仅本地SharePoint服务器需要防护。