近日,多家网络安全机构披露,一项影响本地部署 SharePoint 服务器的严重安全漏洞(CVE-2025-53770,也称为 ToolShell)正被攻击者积极利用。这一漏洞允许未经身份验证的远程控制行为,当前已确认多台服务器遭受入侵。
漏洞概况:CVE-2025-53770 的严重性
CVE-2025-53770 是一个未授权远程代码执行漏洞,影响范围限定于本地部署的 Microsoft SharePoint Server。据披露,该漏洞使攻击者可在未登录的情况下,完全控制目标服务器。值得注意的是,SharePoint Online(Microsoft 365)不受影响。
微软响应:部分修复已纳入七月安全更新
微软已确认该漏洞正被利用,并在 2025 年 7 月的周二更新中推出了初步修复措施。微软强调,SharePoint Online 是安全的,此次攻击仅波及本地部署环境。
用户可通过以下链接下载适用于不同版本 SharePoint Server 的更新补丁:
缓解措施:在等待热修补丁的同时可采取的行动
尽管微软计划发布完整的热修复补丁,但在此之前,官方建议采取以下缓解策略以降低风险:
- 确保使用受支持版本的 SharePoint Server。
- 立即应用所有可用安全更新,尤其是 2025 年 7 月更新。
- 启用并正确配置 AMSI(反恶意软件扫描接口),同时使用如 Microsoft Defender Antivirus 等可信反病毒软件。
- 部署 Microsoft Defender for Endpoint 或同等的端点检测与响应(EDR)解决方案。
- 轮换 ASP.NET 机器密钥,防止密钥泄露被用作后门访问方式。
已有多个 SharePoint 实例遭入侵
安全研究机构 Eye Security 表示,他们扫描了全球范围内超过 8000 台 SharePoint 服务器,发现已有数十个实例被入侵,攻击时间集中在 UTC 时间 7 月 18 日 18:00 到 7 月 19 日 07:30 之间。这一发现进一步表明攻击已处于活跃阶段。
威胁检测:Defender 已可识别相关恶意行为
微软指出,Microsoft Defender Antivirus 已具备对该漏洞相关攻击的检测能力,管理员可通过以下威胁名称进行识别:
- Exploit:Script/SuspSignoutReq.A
- Trojan:Win32/HijackSharePointServer.A
鉴于本漏洞的高危风险,微软建议所有本地 SharePoint 管理员必须立即应用最新的安全更新并实施建议的缓解步骤。
