关键词
漏洞
全球SharePoint服务器遭“零日”攻陷,政府与企业紧急应对!
据《华盛顿邮报》独家报道,黑客组织近日利用 SharePoint 服务器的全新零日漏洞(代号 CVE‑2025‑53770)发起攻击,已对世界各地数以万计的 on-premise SharePoint 实例造成影响。在美国、加拿大、澳大利亚等多国政府和企业系统中,已确认存在被攻破或篡改的情况。微软和美国联邦调查局(FBI)正在紧急协同响应。
⚠️ 攻击细节揭秘
漏洞属性:CVE‑2025‑53770(又名 ToolShell),是对 7 月 Patch Tuesday 修复漏洞(CVE‑2025‑49704/49706)的二次绕过,属于高危远程代码执行漏洞,评分高达 9.8。
攻击范围:仅影响 on‑premise SharePoint Server(2016/2019 及订阅版),不包括 SharePoint Online。已有 75+ 服务器被攻破,包括美政府、大学、能源机构及国际组织等。
隐蔽植入:攻陷者上传名为 spinstall0.aspx 的 web shell,窃取 MachineKey 密钥,以伪造 __VIEWSTATE,有效实施横向渗透和持久控制。
广泛调查:美国政府(FBI、CISA)及加拿大、澳洲机构均已介入,监控源自多个恶意 IP 地址的 POST 请求。
防护层面
关键措施
补丁升级立即安装微软发布的紧急更新(2019 & Subscription Edition KB5002768,2016版待发布)。边界隔离
暂时断开受影响服务器外网访问;启用 AMSI 和 Defender AV;升级 IDS/防火墙规则屏蔽 exploit 指纹。
密钥轮换
更换 ASP.NET MachineKey,防止已窃取密钥继续被利用。
日志审计
监控/_layouts/15/ToolPane.aspx?DisplayMode=Edit和未经授权部署的 web shell。
行为检测
部署 EDR,对 __VIEWSTATE 枚举、网络横向流量、异常脚本执行进行告警响应。
为什么此次攻击影响深远?
攻击链成熟:结合 ToolShell 漏洞与 Cryptographic key 泄露,攻击者能持久隐蔽地控制服务器。
盲区普遍存在:数以万计的 SharePoint-on‑premise 实例长期未更新或未启用最佳安全模式。
备战不充分:多数组织尚未备份密钥或部署行为监控,一旦攻破,清除难度极高。
这场 SharePoint “零日”风暴再次证明:在使用企业部署软件的同时,持续补丁管理、行为监控、权限轮换与密钥保护是不可或缺的安全基石。企业运维、安全团队、应急响应单位应火速对受影响系统排查、更新与采取补救措施。
本公众号将持续追踪后续补丁进展、最新漏洞检测策略与应急演练经验。欢迎留言交流,共筑企业网络安全保障墙!
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.