技术概述
2025年7月19日,微软确认一个影响本地Microsoft SharePoint服务器的零日漏洞"ToolShell"(由研究员Khoa Dinh @_l0gg命名)正在被积极利用。该漏洞随后被分配标识符CVE‑2025‑53770,并附带一个旁路漏洞跟踪为CVE‑2025‑53771。这两个新CVE与之前于7月8日修补的CVE(49704/49706)一起被使用,PoC代码于7月14日出现。
该漏洞链通过向URI /layouts/15/ToolPane.aspx?DisplayMode=Edit 发送精心构造的POST请求,利用Referer头验证中的逻辑缺陷,实现未授权远程代码执行。此旁路允许攻击者无需身份验证即可访问SharePoint的ToolPane功能,最终通过上传或内存中的Web组件实现代码执行。
观察到的攻击活动
xxx.aspx Webshell
2025年7月18日09:58 GMT,SentinelOne观察到一次利用尝试,攻击者投放了一个名为xxx.aspx的自定义密码保护ASPX webshell。该webshell提供三个主要功能:
- 通过嵌入式表单设置cookie进行身份验证
- 通过GTaRkhJ9wz参数提交命令,通过cmd.exe运行并返回客户端
- 通过多部分表单使用字段0z3H8H8atO(文件)和7KAjlfecWF(目标路径)进行文件上传
spinstall0.aspx 攻击波次
SentinelOne观察到两个不同的活动波次,涉及相同的最终有效载荷spinstall0.aspx:
第一波 - 2025年7月18日 (14:54–18:44 GMT) 使用PowerShell基于base64编码的负载投递,写入SharePoint LAYOUTS目录。生成的spinstall0.aspx不是传统的命令webshell,而是侦察和持久化实用程序,专门提取主机的MachineKey值。
第二波 - 2025年7月19日 (03:06–07:59 GMT) 使用几乎相同的逻辑投递相同的spinstall0.aspx有效载荷,目标目录从16\TEMPLATE更改为15\TEMPLATE。
“无壳"攻击集群
这个被追踪为"无壳"的活动集群代表了更高级和隐蔽的方法。没有持久的webshell写入磁盘,而是依赖内存中的.NET模块执行,完全避免了传统的基于文件的工件。所有观察到的活动都来自单个IP地址:96.9.125[.]147。
检测规则和狩猎查询
SentinelOne平台检测规则
- LAYOUTS目录中的Web Shell创建
- LAYOUTS目录中检测到Web Shell文件
- SharePoint IIS工作进程产生的可疑进程
SentinelOne平台狩猎查询
|
|
妥协指标(IoC)
SHA-1哈希:
- f5b60a8ead96703080e73a1f79c3e70ff44df271 - spinstall0.aspx webshell
- fe3a3042890c1f11361368aeb2cc12647a6fdae1 - xxx.aspx webshell
- 76746b48a78a3828b64924f4aedca2e4c49b6735 - App_Web_spinstall0.aspx.9c9699a8.avz5nq6f.dll
IP地址:
- 96.9.125[.]147 - “无壳"集群的攻击者IP
- 107.191.58[.]76 - spinstall0.aspx集群第一波使用的攻击者IP
- 104.238.159[.]149 - spinstall0.aspx集群第二波使用的攻击者IP
结论
现代威胁参与者正在通过补丁差异分析、n-day采用和快速迭代开发来最大化利用收益。SharePoint服务器对威胁参与者具有吸引力,因为它们很可能存储敏感的组织数据。除了作为知识存储的价值外,易受攻击的SharePoint服务器还可用于暂存和向受害组织提供额外的攻击组件,用于内部水坑攻击。