微軟 SharePoint 零日漏洞在全球網絡攻擊中被利用

2025年7月19日，微軟安全響應中心（MSRC）披露，存在針對本地SharePoint伺服器的兩個漏洞的活躍利用：CVE-2025-49706（欺騙漏洞）和CVE-2025-49704（遠程程式碼執行漏洞）。這些漏洞僅影響本地SharePoint伺服器，不影響Microsoft 365中的SharePoint Online。微軟已發布了SharePoint Server Subscription Edition、2019和2016版本的全面安全更新，敦促用戶立即套用以保障安全。

微軟觀察到兩個中國國家級行為者「Linen Typhoon」和「Violet Typhoon」針對面向網際網路的SharePoint伺服器利用這些漏洞進行攻擊。此外，另一個來自中國的威脅行為者Storm2603也利用這些漏洞部署勒索軟體。針對其他威脅行為者利用這些漏洞的調查還在進行中。

微軟警告稱，這些漏洞已被威脅行為者迅速整合入針對未打補丁的本地SharePoint系統的攻擊中。攻擊者透過向ToolPane端點發送POST請求進行偵察和嘗試利用。成功利用可導致身份驗證繞過、遠程程式碼執行和部署Web Shell。

微軟建議用戶使用支援的SharePoint版本並安裝最新安全補丁，啟用反惡意軟體掃描介面（AMSI）和Microsoft Defender Antivirus或同類產品，將AMSI配置為全模式，定期更換SharePoint伺服器ASP.NET機器密鑰，重新啟動Internet資訊服務（IIS），並部署Microsoft Defender for Endpoint或同類解決方案。

MSRC部落格將在調查持續進行時更新，但現有發現確認，中國駭客正在利用這些漏洞於2025年7月19日發動勒索軟體攻擊。

2024年10月27日星期日，微軟披露了一起針對其本地端SharePoint協作軟體漏洞的活躍網路攻擊。美國網路安全和基礎建設安全局（CISA）發布警告稱，此漏洞允許未經身份驗證的攻擊者完全存取SharePoint內容並遠端執行程式碼，對全球受影響組織構成嚴重風險，其中包括美國州級機構及研究人員。

微軟於週日晚間釋出了兩個版本SharePoint的安全修補程式，並於週一晚間對主要用於本地端資料中心的SharePoint Server 2016發布額外補丁。此次攻擊不影響基於雲端的SharePoint服務，如Microsoft 365。

Palo Alto Networks的研究員估計，全球數千家組織可能受到影響。Palo Alto Unit 42的CTO兼威脅情報負責人Michael Sikorski指出，攻擊者正在「竊取敏感資料，部署持久性後門，並竊取加密金鑰」，且已在系統中建立據點。Eye Security的研究人員指出，由於SharePoint伺服器通常與Outlook和Teams等微軟其他服務相連，資料外洩可能加劇資料竊取及密碼蒐集。

微軟除官方部落格更新外拒絕進一步評論。攻擊的完整範圍與影響仍在調查中，CISA建議組織立即套用補丁以降低被利用風險。

微軟遭遇利用其SharePoint產品漏洞的重大網路攻擊，影響了美國聯邦機構、州政府單位及全球研究人員。此次攻擊針對特定版本的SharePoint，微軟確認該版本在修補前仍存在漏洞。為應對此狀況，微軟發布了緊急安全更新，修復了在這些全球持續網路攻擊中被積極利用的SharePoint漏洞。此事件突顯了依賴SharePoint的政府與研究組織所面臨的風險，促使他們透過安全補丁立即採取緩解措施以保護受影響的系統。

微軟發布警報，指出有針對SharePoint伺服器軟體的零日漏洞進行積極的網路攻擊活動，該軟體主要被美國及國際政府機構和企業用於內部文件共享。這些漏洞影響本地部署的SharePoint伺服器，不涉及Microsoft 365中的SharePoint Online。漏洞編號為CVE-2025-53770及CVE-2025-53771，是先前SharePoint漏洞CVE-2025-49704及CVE-2025-49706的繞過補丁手段，統稱為ToolShell漏洞鏈，可實現遠端代碼執行，使攻擊者能侵入全球多家機構。微軟於最新的Patch Tuesday更新中發布了修補程式，敦促用戶立即安裝以防止被利用。微軟正與美國網路安全與基礎設施安全局（CISA）、國防部網路防禦司令部及全球其他安全夥伴協調回應行動。聯邦調查局（FBI）確認知悉相關攻擊事件，正與聯邦及私營部門緊密合作，但未透露更多細節。微軟警告該漏洞允許授權攻擊者進行網絡間欺騙，可掩蓋身份並操控機構內受信通訊。臨時建議用戶若無法啟用建議的惡意軟體防護，應斷開易受攻擊的SharePoint伺服器互聯網連接，直至完成更新。此次攻擊凸顯了補丁管理及持續警覺的重要性，因攻擊者會在漏洞揭露後迅速利用即使輕微的漏洞。

微軟已發布安全補丁，修復其SharePoint伺服器軟體中兩個被全球範圍內主動利用以攻擊數十個組織的關鍵漏洞。漏洞編號為CVE-2025-53770和CVE-2025-53771，是早前SharePoint漏洞CVE-2025-49704和CVE-2025-49706的補丁繞過，合稱「ToolShell」。該漏洞鏈可使本地SharePoint伺服器實現遠端程式碼執行。

利用細節於週末曝光，促使微軟發布官方安全通告。這些更新已納入本月微軟的「補丁星期二」發佈中。微軟已提醒企業和政府機構警惕針對這些漏洞的持續攻擊。

這些事件凸顯攻擊者常利用預設設定、過時加密和受信但未受保護的工具，突破高度安全環境，無需依賴新型零日漏洞。攻擊者採用模組化和自動化技術，模擬正常系統行為以躲避偵測。

微軟同時強調大型語言模型（LLM）在各類應用中的整合帶來日益增加的安全風險，並發布了「LLM安全最佳實踐速查表」，指導識別與緩解人工智慧相關漏洞。

安全專家強調盡快修補所有關鍵及高風險漏洞的重要性。攻擊者常在軟體漏洞披露數小時內迅速利用。此次補丁與通告的發布旨在幫助組織預防這些活躍攻擊可能帶來的損害。

2025年7月20日，微軟發布了針對本地SharePoint伺服器關鍵漏洞的緊急安全補丁，這些漏洞正在被廣泛的網絡攻擊活動利用。主要漏洞編號為CVE-2025-53770，CVSS評分為9.8，因反序列化不可信數據導致遠端代碼執行。同時，微軟披露了一個相關的欺騙漏洞CVE-2025-53771（CVSS評分6.3），由路徑名限制不當引起，允許授權攻擊者透過網絡進行欺騙。這些漏洞僅影響本地版本的SharePoint伺服器，不影響Microsoft 365中的SharePoint Online。

微軟確認，這些利用部分已在2025年7月的補丁星期二更新中修復，且與之前的漏洞CVE-2025-49704和CVE-2025-49706有關。名為ToolShell的利用鏈藉助這些缺陷實現遠端代碼執行。此次7月補丁相比之前提供了更強的防護。

微軟感謝一位匿名研究人員報告了欺騙漏洞（CVE-2025-53771），強調必須立即應用最新更新或啟用AMSI（反惡意軟體掃描接口）、輪換SharePoint伺服器的ASP.NET機器金鑰並重啟所有SharePoint伺服器上的IIS，以減輕進一步攻擊風險。

微軟發言人表示，公司優先考慮快速更新並糾正之前的內容差異，且不會影響對客戶的指導。該事件凸顯了在全球駭客攻擊背景下，美國及各州政府機構使用微軟產品所面臨的持續網絡威脅。

微軟 SharePoint 伺服器中存在一個嚴重安全漏洞，代號為 CVE-2025-53770，CVSS 分數為 9.8。根據荷蘭安全公司 Eye Security 的報告，該零日漏洞至少自 2025 年 7 月 18 日起已被積極利用。此漏洞是另一個 SharePoint 漏洞（CVE-2025-49706，CVSS 分數 6.3）的變體，該漏洞已在 2025 年 7 月的「補丁星期二」更新中獲得修補。然而，CVE-2025-53770 仍未修補，攻擊者可透過利用 SharePoint 在網路上反序列化不受信任物件的方式，未經身份驗證遠端執行程式碼。

微軟於 2025 年 7 月 19 日公開確認已知針對本地 SharePoint 伺服器客戶的持續攻擊。這些攻擊涉及在易受攻擊的 SharePoint 伺服器上放置後門並竊取伺服器的機器安全密鑰（ValidationKey 和 DecryptionKey）。這些密鑰使攻擊者能夠偽造可信負載（如 __VIEWSTATE），從而完全控制受影響的伺服器，實現橫向移動並藉由偽裝成合法 SharePoint 活動來規避偵測。

微軟澄清，SharePoint Online（Microsoft 365）不受此漏洞影響。作為官方補丁發布前的緩解措施，微軟建議客戶在本地 SharePoint 伺服器中配置反惡意軟體掃描介面（AMSI）整合，並在所有 SharePoint 伺服器上部署 Microsoft Defender 防毒軟體。AMSI 整合已從 2023 年 9 月的 SharePoint Server 2016-2019 安全更新和 SharePoint Server Subscription Edition 的 23H2 功能更新開始預設啟用。

對於無法啟用 AMSI 整合的組織，微軟建議在補丁發布前斷開 SharePoint 伺服器的網際網路連線。他們還建議部署 Defender for Endpoint 以偵測並阻止後續利用活動。

被攻擊或懷疑遭受攻擊的組織應檢查伺服器日誌以搜尋入侵跡象，隔離或關閉受影響伺服器，並更換所有暴露的憑證和系統密鑰，因為僅修補漏洞無法撤銷被竊取的密鑰，攻擊者仍可持續存取。

該漏洞由 Viettel 網路安全透過 Trend Micro 零日倡議（ZDI）發現並回報給微軟。微軟的公告強調該漏洞源自本地 SharePoint 伺服器中對不受信任資料的反序列化，導致可透過網路執行遠端程式碼。

截至2025年7月19日，微軟SharePoint伺服器中一個關鍵的零日漏洞（CVE-2025-53770）正被積極利用，針對全球超過75家公司的伺服器發動大規模攻擊。該漏洞是早期欺騙漏洞CVE-2025-49706（已在2025年7月的Patch Tuesday修補）的一種變體，攻擊者利用SharePoint反序列化不可信資料的方式，可遠端執行程式碼。攻擊者可在驗證前執行指令，使用被盜的機器密鑰偽造可信載荷達成持續性或橫向移動，且其行為可與合法SharePoint操作混淆，增加偵測與應變困難。

微軟承認這些攻擊，並強調Microsoft 365中的SharePoint Online不受影響。此漏洞影響本地部署的SharePoint Server 2016、2019及訂閱版。微軟通過趨勢科技零日倡議感謝越南軍工網路安全團隊發現並通報此漏洞。

微軟正準備完整的安全更新以徹底解決問題。在修補程式釋出前，建議客戶啟用反惡意軟體掃描介面（AMSI）整合功能——此功能在2023年9月發布的SharePoint Server 2016及2019安全更新中預設啟用，訂閱版23H2功能更新中亦已啟用，並於所有SharePoint伺服器部署Microsoft Defender防毒及Defender for Endpoint以偵測並阻擋後續攻擊行為。對於無法啟用AMSI的環境，微軟建議斷開SharePoint伺服器的網際網路連線。

微軟表示：「本地部署Microsoft SharePoint Server對不受信資料進行反序列化的作法，使未經授權攻擊者可透過網路執行程式碼。」Eye Security研究人員發現，廣泛的攻擊利用特定HTTP Referer字串結合CVE-2025-49706漏洞，升級至CVE-2025-53770，從而實現遠端程式碼執行載荷的傳遞。

此漏洞對使用本地Microsoft SharePoint Server基礎建設的組織構成重大威脅，據報已有至少75家公司在此持續被利用的攻擊活動中遭駭。

2025年7月，兩個針對廣泛使用的企業文件傳輸及協作伺服器軟體的零日漏洞被積極利用。首先，CrushFTP，一款支援FTP、FTPS、SFTP、HTTP(S)、WebDAV等多協議的專有文件傳輸伺服器，發現了編號為CVE-2025-54309的零日漏洞。此漏洞允許攻擊者透過網頁介面取得易受攻擊CrushFTP伺服器的管理員權限，攻擊者利用HTTP(S)連線劫持未更新的CrushFTP伺服器。此漏洞與伺服器自動載入XML配置變更相關，無需重啟，觸發條件為時間戳變化。漏洞於2025年7月初被發現，包括德國用戶在內的系統遭受顯著攻擊。CrushFTP正在更新其官方文件以提供最新資訊。其次，影響Microsoft SharePoint伺服器的零日變種漏洞（CVE-2025-53770）於2025年7月18日開始在大規模攻擊活動中被利用。該變種擴展了先前已修補的偽造漏洞（CVE-2025-49706）。攻擊者利用反序列化缺陷執行遠端程式碼，竊取關鍵MachineKey配置（ValidationKey和DecryptionKey），並安裝持久後門，實現伺服器完全接管以及網路內橫向移動。微軟及安全研究人員建議啟用惡意軟體掃描介面（AMSI）整合，部署Defender for Endpoint，或在補丁釋出前中斷SharePoint伺服器的網際網路連線。SharePoint Online（Microsoft 365）不受影響。兩個漏洞皆涉及關鍵企業基礎設施，被威脅行為者積極利用，導致管理權限劫持及本地系統遠端程式碼執行。緊急緩解措施包括補丁管理、配置調整及先進終端檢測與回應工具的部署。