云南
安全机构与研究人员正紧急拉响警报:微软SharePoint服务器的一个高危漏洞正遭到大规模的在野利用。攻击者可利用该漏洞窃取公司敏感数据,包括用于访问内网系统的身份验证令牌。研究人员警告称,任何自行部署(On-Premises)SharePoint实例的组织都应假设其网络已被入侵。
该漏洞的编号为CVE-2025-53770,CVSS评分为9.8分(满分10分),属于“严重”级别。它允许攻击者在无需身份验证的情况下,远程访问任何暴露在公网上的SharePoint服务器。从上周五(7月18日)开始,研究人员陆续发出警告,指出该漏洞已被积极利用。受影响的是客户自行在内部设施中运行的SharePoint服务器版本,而微软的云端SharePoint Online和Microsoft 365服务不受此漏洞影响。
一个非典型的“网站后门”(Webshell)
微软于上周六确认,这个当时的零日漏洞(zero-day)已遭攻击。一天后,微软更新了公告,并发布了紧急更新以修复此漏洞以及另一个相关漏洞(CVE-2025-53771),覆盖SharePoint订阅版和SharePoint 2019。使用这两个版本的客户应立即应用更新。截至本文发稿时,SharePoint 2016版本仍未获得补丁,微软建议该版本用户安装**反恶意软件扫描接口(Antimalware Scan Interface)**进行缓解。
研究人员发现,当前的攻击链与今年五月在Pwn2Own黑客大赛上演示的两种漏洞(CVE-2025-49704 和 CVE-2025-49706)攻击手法高度相似。微软在两周前的月度更新中已对这两个漏洞进行了部分修复。微软表示,本周末发布的紧急补丁,分别为之前的两个漏洞提供了“更强大的防护”。
然而,安装更新仅仅是灾后恢复的第一步。因为攻击者一旦得手,就能窃取到身份验证凭据,从而获得对受感染网络内部各种敏感资源的广泛访问权限。关于后续处理步骤,我们将在下文详述。
上周六,安全公司Eye Security的研究人员报告称,他们发现了“数十个系统在两波攻击中被积极入侵,攻击时间分别在7月18日18:00 UTC和7月19日07:30 UTC左右”。这些遍布全球的系统被利用该漏洞攻破后,植入了一个名为ToolShell的后门。研究人员指出,这个后门能够访问SharePoint服务器最敏感的部分,并从中提取令牌,使攻击者能够执行代码,进而在企业内网中横向移动。
“这并非一个典型的webshell,”Eye Security的研究人员写道。“它没有交互式命令、反向shell或C2(命令与控制)逻辑。相反,这个页面通过调用内部.NET方法来读取SharePoint服务器的配置,包括其中的。这些密钥是生成有效载荷(payload)的关键,一旦获取,任何经过身份验证的SharePoint请求都有可能变成一次远程代码执行(RCE)的机会。”
MachineKey
ValidationKey
__VIEWSTATE
这种远程代码执行之所以能实现,是因为攻击利用了SharePoint处理序列化(serialization)的方式——即将数据结构和对象状态转换为可存储或传输的格式,以便日后重建。微软在2021年修复的一个SharePoint漏洞,就是利用了解析逻辑的缺陷,向页面中注入对象。其根本原因在于SharePoint使用存储在机器配置中的签名密钥来运行ASP.NET的对象。这使得攻击者能够让SharePoint反序列化任意对象并执行其中嵌入的命令。不过,当时的攻击受限于一个前提:必须生成有效的签名,而这需要访问服务器的秘密。
ValidationKey
ViewState
ValidationKey
研究人员这样写道:
现在,通过ToolShell攻击链(CVE-2025-49706 + CVE-2025-49704),攻击者似乎可以直接从内存或配置中提取。一旦这个加密材料泄露,攻击者就可以使用一个名为ysoserial的工具来伪造完全有效的、经过签名的载荷。
ValidationKey
__VIEWSTATE
这些载荷可以嵌入任何恶意命令,并被服务器作为可信输入接受,从而无需任何凭据即可完成整个RCE攻击链。这反映了2021年被利用的设计缺陷,但现在它被包装成了一个现代化的零日攻击链,具备自动植入后门、完全持久化和零身份验证的特点。
修复漏洞仅仅是第一步
攻击者利用该漏洞窃取SharePoint的ASP.NET机器密钥,这使他们能够在后续随时对基础设施发起更多攻击。这意味着,仅仅打上补丁并不能保证攻击者已被彻底清除。
受影响的组织必须执行以下关键步骤:
- 轮换SharePoint的ASP.NET机器密钥。
- 重启运行在服务器上的IIS Web服务器。
据《华盛顿邮报》报道,至少有两个美国联邦机构已发现在这次持续的攻击中,其内网服务器遭到了入侵。
Eye Security发布的文章提供了技术指标,系统管理员可以利用这些指标来判断自己的系统是否已成为攻击目标。文章还提供了一系列加固措施,帮助受影响的组织抵御此类活动。
在上周日的一份公告中,美国网络安全和基础设施安全局(CISA)确认了这些攻击以及ToolShell后门的使用,并提供了自己的安全措施清单。
关注【黑客联盟】带你走进神秘的黑客世界
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
