微软 SharePoint 零日漏洞在全球网络攻击中被利用

2025年7月19日，微软安全响应中心（MSRC）披露，存在针对本地SharePoint服务器的两个漏洞的活跃利用：CVE-2025-49706（欺骗漏洞）和CVE-2025-49704（远程代码执行漏洞）。这些漏洞仅影响本地SharePoint服务器，不影响Microsoft 365中的SharePoint Online。微软已发布了SharePoint Server Subscription Edition、2019和2016版本的全面安全更新，敦促用户立即应用以保障安全。

微软观察到两个中国国家级行为体“Linen Typhoon”和“Violet Typhoon”针对面向互联网的SharePoint服务器利用这些漏洞进行攻击。此外，另一个来自中国的威胁行为体Storm2603也利用这些漏洞部署勒索软件。针对其他威胁行为体利用这些漏洞的调查还在进行中。

微软警告称，这些漏洞已被威胁行为体迅速整合入针对未打补丁的本地SharePoint系统的攻击中。攻击者通过向ToolPane端点发送POST请求进行侦察和尝试利用。成功利用可导致身份验证绕过、远程代码执行和部署Web Shell。

微软建议用户使用支持的SharePoint版本并安装最新安全补丁，启用反恶意软件扫描接口（AMSI）和Microsoft Defender Antivirus或同类产品，将AMSI配置为全模式，定期更换SharePoint服务器ASP.NET机器密钥，重启Internet信息服务（IIS），并部署Microsoft Defender for Endpoint或同类解决方案。

MSRC博客将在调查持续进行时更新，但现有发现确认，中国黑客正在利用这些漏洞于2025年7月19日发动勒索软件攻击。

2024年10月27日星期日，微软披露了一起针对其本地SharePoint协作软件漏洞的活跃网络攻击。美国网络安全和基础设施安全局（CISA）发布警告称，该漏洞允许未经身份验证的攻击者完全访问SharePoint内容并远程执行代码，给全球受影响组织带来严重风险，其中包括美国州级机构和研究人员。

微软于周日晚间发布了两个版本SharePoint的安全修复程序，并于周一晚上针对主要用于本地数据中心的SharePoint Server 2016发布了额外补丁。此次攻击不影响基于云的SharePoint服务，如Microsoft 365。

Palo Alto Networks的研究人员估计，全球数千家组织可能受到影响。Palo Alto Unit 42的CTO兼威胁情报负责人Michael Sikorski指出，攻击者正在“窃取敏感数据，部署持久后门，并盗取加密密钥”，且已经在系统中建立了立足点。Eye Security的研究人员指出，由于SharePoint服务器通常与Outlook和Teams等微软其他服务相连，泄露可能助长数据盗窃和密码收集。

微软除官方博客更新外拒绝进一步评论。攻击的全部范围和影响仍在调查中，CISA建议组织立即应用补丁以减轻被利用风险。

微软遭遇了一次利用其SharePoint产品漏洞的重大网络攻击，影响了美国联邦机构、州政府实体和全球研究人员。此次攻击针对特定版本的SharePoint，微软确认该版本在补丁发布前仍存在漏洞。为应对这一情况，微软发布了紧急安全更新，修复了在这些全球持续网络攻击中被积极利用的SharePoint漏洞。此次事件凸显了依赖SharePoint的政府和研究组织所面临的风险，促使他们通过安全补丁采取了紧急缓解措施以保护受影响的系统。

微软发布警报，称有针对SharePoint服务器软件的零日漏洞的积极网络攻击活动，此软件主要被美国及国际政府机构和企业用于内部文档共享。这些漏洞影响本地部署的SharePoint服务器，不涉及Microsoft 365中的SharePoint Online。漏洞编号为CVE-2025-53770及CVE-2025-53771，是先前SharePoint漏洞CVE-2025-49704及CVE-2025-49706的绕过补丁手段，统称为ToolShell漏洞链，可实现远程代码执行，使攻击者得以侵入全球多家机构。微软在最近一次补丁星期二更新中发布了修复程序，敦促用户立即安装防止被利用。微软正与美国网络安全和基础设施安全局（CISA）、国防部网络防御司令部及全球其他安全伙伴协调响应行动。联邦调查局（FBI）确认知晓相关攻击事件，正与联邦及私营部门紧密合作，但未透露更多细节。微软警告该漏洞允许授权攻击者在网络间进行欺骗，可能掩盖身份并操纵机构内受信通信。临时建议用户若无法启用建议的恶意软件防护，应断开易受攻击的SharePoint服务器网络连接，直至完成更新。此次攻击凸显了补丁管理及持续警觉的重要性，因攻击者会在漏洞披露后迅速利用即使是轻微的漏洞。

微软已发布安全补丁，修复其SharePoint服务器软件中两个被全球范围内主动利用以攻击数十个组织的关键漏洞。漏洞编号为CVE-2025-53770和CVE-2025-53771，是早前SharePoint漏洞CVE-2025-49704和CVE-2025-49706的补丁绕过，合称“ToolShell”。该漏洞链可使本地SharePoint服务器实现远程代码执行。

利用细节于周末曝光，促使微软发布官方安全通告。这些更新已纳入本月微软的“补丁星期二”发布中。微软已提醒企业和政府机构警惕针对这些漏洞的持续攻击。

这些事件凸显攻击者常利用默认设置、过时加密和受信但未受保护的工具，突破高度安全环境，无需依赖新型零日漏洞。攻击者采用模块化和自动化技术，模拟正常系统行为以躲避检测。

微软同时强调大型语言模型（LLM）在各类应用中的集成带来日益增加的安全风险，并发布了“LLM安全最佳实践速查表”，指导识别与缓解人工智能相关漏洞。

安全专家强调尽快修补所有关键及高风险漏洞的重要性。攻击者常在软件漏洞披露数小时内迅速利用。此次补丁与通告的发布旨在帮助组织预防这些活跃攻击可能带来的损害。

2025年7月20日，微软发布了针对本地SharePoint服务器关键漏洞的紧急安全补丁，这些漏洞正在被广泛的网络攻击活动利用。主要漏洞编号为CVE-2025-53770，CVSS评分为9.8，因反序列化不可信数据导致远程代码执行。同时，微软披露了一个相关的欺骗漏洞CVE-2025-53771（CVSS评分6.3），由路径名限制不当引起，允许授权攻击者通过网络进行欺骗。这些漏洞仅影响本地版本的SharePoint服务器，不影响Microsoft 365中的SharePoint Online。

微软确认，这些利用部分已在2025年7月的补丁星期二更新中修复，且与之前的漏洞CVE-2025-49704和CVE-2025-49706有关。名为ToolShell的利用链借助这些缺陷实现远程代码执行。此次7月补丁相比之前提供了更强的防护。

微软感谢一位匿名研究人员报告了欺骗漏洞（CVE-2025-53771），强调必须立即应用最新更新或启用AMSI（反恶意软件扫描接口）、轮换SharePoint服务器的ASP.NET机器密钥并重启所有SharePoint服务器上的IIS，以减轻进一步攻击风险。

微软发言人表示，公司优先考虑快速更新并纠正之前的内容差异，且不会影响对客户的指导。该事件凸显了在全球黑客攻击背景下，美国及各州政府机构使用微软产品所面临的持续网络威胁。

微软 SharePoint 服务器中存在一个严重安全漏洞，编号为 CVE-2025-53770，CVSS 分数为 9.8。据荷兰安全公司 Eye Security 称，该零日漏洞至少自 2025 年 7 月 18 日起已被积极利用。该漏洞是另一个 SharePoint 漏洞（CVE-2025-49706，CVSS 分数 6.3）的变种，微软已在 2025 年 7 月的“补丁星期二”更新中修补了该漏洞。然而，CVE-2025-53770 尚未修补，攻击者可通过利用 SharePoint 在网络上传输时反序列化不受信任对象的方式，未经身份验证远程执行代码。

微软于 2025 年 7 月 19 日公开确认已知针对本地 SharePoint 服务器客户的持续攻击。这些攻击涉及在易受攻击的 SharePoint 服务器上放置后门并窃取服务器的机器安全密钥（ValidationKey 和 DecryptionKey）。这些密钥使攻击者能够伪造受信任的负载（如 __VIEWSTATE），从而完全控制受影响的服务器，实现横向移动并通过伪装成合法 SharePoint 活动躲避检测。

微软澄清，SharePoint Online（Microsoft 365）不受此漏洞影响。作为官方补丁发布之前的缓解措施，微软建议客户在本地 SharePoint 服务器中配置反恶意软件扫描接口（AMSI）集成，并在所有 SharePoint 服务器上部署 Microsoft Defender 防病毒软件。AMSI 集成已从 2023 年 9 月的 SharePoint Server 2016-2019 安全更新和 SharePoint Server Subscription Edition 的 23H2 功能更新开始默认启用。

对于无法启用 AMSI 集成的组织，微软建议在补丁发布之前断开 SharePoint 服务器的互联网连接。他们还建议部署 Defender for Endpoint 来检测并阻止后续利用活动。

被攻击或怀疑受到攻击的组织应检查服务器日志以寻找入侵迹象，隔离或关闭受影响服务器，并更换所有暴露的凭据和系统密钥，因为仅打补丁无法撤销被窃取的密钥，攻击者仍可持续访问。

该漏洞由 Viettel 网络安全通过 Trend Micro 零日倡议（ZDI）发现并报告给微软。微软的公告强调该漏洞源自本地 SharePoint 服务器中对不受信任数据的反序列化，导致可通过网络执行远程代码。

2025年7月19日，微软SharePoint服务器中存在的关键零日漏洞（CVE-2025-53770）正被用于大规模攻击，影响全球超过75家公司的服务器。该漏洞是此前经修补的欺骗漏洞CVE-2025-49706的变种，攻击者通过利用SharePoint对不可信数据的反序列化方式，能够远程执行代码。攻击者可以在身份验证之前执行命令，利用被窃取的机器密钥伪造可信负载以实现持久化或横向移动，并且其活动能够掩盖于合法SharePoint操作中，增加检测和响应的难度。

微软确认了这些攻击，并强调Microsoft 365中的SharePoint Online未受影响。此漏洞影响SharePoint Server 2016、2019及订阅版的本地部署。微软通过趋势科技零日计划感谢越南军工网络安全团队发现并报告了这一漏洞。

微软正在准备全面的安全更新以彻底解决该问题。在补丁发布之前，建议客户启用反恶意软件扫描接口（AMSI）集成——该功能在2023年9月针对SharePoint Server 2016和2019的安全更新中默认启用，以及订阅版23H2特性更新中已启用，并在所有SharePoint服务器上部署Microsoft Defender反病毒和Defender for Endpoint以检测并阻止后续攻击活动。对于无法启用AMSI的环境，微软建议断开SharePoint服务器的互联网连接。

微软声明：“本地部署的Microsoft SharePoint Server中对不可信数据进行反序列化允许未经授权的攻击者通过网络执行代码。”Eye Security的研究人员发现，当前广泛的攻击结合特定HTTP Referer字符串利用CVE-2025-49706漏洞升级至CVE-2025-53770，从而实现远程代码执行载荷的投递。

该漏洞对使用本地Microsoft SharePoint Server基础设施的组织构成重大威胁，目前至少有75家公司在此次持续利用活动中被入侵。

2025年7月，两个针对广泛使用的企业文件传输和协作服务器软件的零日漏洞被积极利用。首先，CrushFTP，一款支持FTP、FTPS、SFTP、HTTP(S)、WebDAV等多协议的专有文件传输服务器，发现了编号为CVE-2025-54309的零日漏洞。该漏洞允许攻击者通过网页界面获得脆弱CrushFTP服务器的管理员访问权限，攻击者利用HTTP(S)连接劫持未更新的CrushFTP服务器。该漏洞与服务器自动加载XML配置更改有关，无需重启，触发条件为时间戳变化。该漏洞于2025年7月初被发现，德国用户等系统遭受了显著的成功攻击。CrushFTP正在更新其官方文档以提供最新信息。其次，影响Microsoft SharePoint服务器的零日变种漏洞（CVE-2025-53770）于2025年7月18日开始在大规模攻击活动中被利用。该变种扩展了先前修补的欺骗漏洞（CVE-2025-49706）。攻击者利用反序列化缺陷执行远程代码，窃取关键MachineKey配置（ValidationKey和DecryptionKey）并安装持久后门，实现服务器完全接管及网络内横向移动。微软及安全研究人员建议启用恶意软件扫描接口（AMSI）集成，部署Defender for Endpoint，或在补丁发布前断开SharePoint服务器的互联网连接。SharePoint Online（Microsoft 365）不受影响。两个漏洞均涉及关键企业基础设施，被威胁行为者积极利用，导致管理权限劫持和本地系统远程代码执行。紧急缓解措施包括补丁管理、配置调整及先进终端检测与响应工具的部署。