微软近期发布了针对SharePoint服务器的多个安全漏洞补丁，其中CVE-2025-53770（高危远程代码执行漏洞）正在被恶意利用。该漏洞源于反序列化缺陷，可与另外两个漏洞（CVE-2025-49704、CVE-2025-49706）结合形成攻击链，已被命名为ToolShell。另一个披露的漏洞CVE-2025-53771为欺骗漏洞。这些漏洞仅影响本地部署的SharePoint服务器。安全公司指出，已有至少54家机构遭受攻击，攻击者正绕过身份验证机制窃取数据、植入后门。建议用户立即安装补丁，轮换密钥，并考虑断开服务器公网连接。事件仍在发展中，风险较高。

💻 **关键漏洞CVE-2025-53770被利用，影响本地SharePoint服务器** 微软发布了针对SharePoint服务器的补丁，以修复一个正在被恶意利用的高危远程代码执行漏洞（CVE-2025-53770），该漏洞源于反序列化缺陷，CVSS评分为9.8。攻击者正利用此漏洞针对本地部署的SharePoint Server客户发起攻击。微软承认该漏洞在7月安全更新中未完全修复，并发布了更完善的补丁。

🔗 **漏洞可串联形成攻击链，ToolShell威胁升级** CVE-2025-53770与另外两个SharePoint漏洞（CVE-2025-49704和CVE-2025-49706）存在关联，可被串联利用形成远程代码执行攻击链，该攻击链被称为ToolShell，已在微软7月“补丁星期二”更新中得到修复。新披露的CVE-2025-53771为欺骗漏洞，可导致授权攻击者实施欺骗攻击。

🏢 **攻击广泛且深入，多家机构已受影响** 安全公司透露，已有至少54家机构遭受攻击，包括银行、高校及政府部门，攻击活动始于7月18日左右。攻击者能够绕过MFA和SSO等身份验证机制获取特权访问，窃取敏感数据、植入持久化后门并盗取加密密钥。一旦本地SharePoint服务器暴露在公网，应假定已遭入侵，且可能导致整个网络沦陷。

🛡️ **多项措施应对，轮换密钥是关键** 微软建议用户立即安装最新安全更新，并采取多项措施防范潜在攻击，包括使用受支持的本地SharePoint版本、开启AMSI并启用全模式防护、部署威胁防护解决方案。特别强调，在安装更新或启用AMSI后，必须轮换SharePoint服务器的ASP.NET机器密钥并重启IIS服务，即使无法启用AMSI也需立即轮换密钥。

HackerNews 编译，转载请注明出处：

微软周日发布了针对SharePoint中一个正被恶意利用的安全漏洞的补丁，并同时公布了另一个漏洞的细节，该漏洞已通过“更强大的防护措施”得到解决。

微软承认，“目前发现攻击者正利用7月安全更新中未完全修复的漏洞，针对本地部署的SharePoint Server客户发起攻击”。

被利用的漏洞编号为CVE-2025-53770（CVSS评分：9.8），属于高危远程代码执行漏洞。该漏洞源于本地部署的Microsoft SharePoint Server在处理不可信数据时存在反序列化缺陷。

新披露的漏洞是一个SharePoint欺骗漏洞（CVE-2025-53771，CVSS评分：6.3）。一位匿名安全研究员因发现并报告该漏洞获得了微软官方致谢。

微软在2025年7月20日发布的安全公告中指出：“Microsoft Office SharePoint存在路径遍历漏洞，由于对受限目录的路径名限制不当，导致授权攻击者可通过网络实施欺骗攻击。”

微软还指出，CVE-2025-53770和CVE-2025-53771与另外两个SharePoint漏洞（CVE-2025-49704和CVE-2025-49706）存在关联，这些漏洞可被串联利用形成远程代码执行攻击链。该攻击链被称为ToolShell，已在微软2025年7月“补丁星期二”更新中得到修复。

微软表示：“针对CVE-2025-53770的更新比CVE-2025-49704的修复措施更完善”，“针对CVE-2025-53771的更新也比CVE-2025-49706的防护能力更强”。

值得注意的是，微软此前曾将CVE-2025-53770归类为CVE-2025-49706的变体漏洞。对此，微软发言人向媒体解释：“公司优先保障更新推送，同时会及时纠正内容不准确之处。”微软强调当前发布的信息准确无误，表述差异不影响对客户的安全指导。

这两个漏洞仅影响本地部署的SharePoint服务器，不涉及Microsoft 365中的SharePoint Online。目前已修复的版本包括：

Microsoft SharePoint Server 2019（16.0.10417.20027）Microsoft SharePoint Enterprise Server 2016（16.0.5508.1000）Microsoft SharePoint Server Subscription EditionMicrosoft SharePoint Server 2019 CoreMicrosoft SharePoint Server 2016（待确认）

为防范潜在攻击，建议用户采取以下措施：

使用受支持的本地SharePoint版本（SharePoint Server 2016、2019及Subscription Edition）立即安装最新安全更新开启反恶意软件扫描接口（AMSI）并启用全模式防护，同时配置Defender Antivirus等杀毒软件部署Microsoft Defender for Endpoint或同类威胁防护解决方案轮换SharePoint Server的ASP.NET机器密钥

微软特别提醒：“安装上述安全更新或启用AMSI后，必须轮换SharePoint服务器的ASP.NET机器密钥，并重启所有SharePoint服务器的IIS服务。若无法启用AMSI，安装更新后也需立即轮换密钥。”

有安全公司向媒体透露，已有至少54家机构遭受攻击，包括银行、高校及政府部门。据该公司称，攻击活动始于7月18日左右。

美国网络安全和基础设施安全局（CISA）已将CVE-2025-53770纳入已知被利用漏洞目录，要求联邦民用行政机构在2025年7月21日前完成修复。

帕洛阿尔托网络公司（Palo Alto Networks）旗下Unit 42团队也在追踪这起“高影响、持续性威胁事件”，指出政府、教育机构、医疗机构（含医院）及大型企业面临直接风险。

Unit 42首席技术官兼威胁情报负责人Michael Sikorski表示：

“攻击者正绕过MFA和SSO等身份验证机制获取特权访问权限。入侵后会窃取敏感数据、植入持久化后门并盗取加密密钥。攻击者已利用该漏洞建立攻击据点。”

“本地SharePoint服务器若暴露在公网环境，应假定已遭入侵。仅靠补丁无法彻底清除威胁。更危险的是SharePoint与微软生态的深度整合，Office、Teams、OneDrive和Outlook等服务存储的敏感信息都会成为攻击目标，一次入侵可能导致整个网络沦陷。”

该安全厂商将此次事件列为高严重度、高紧急度威胁，敦促本地SharePoint用户立即安装补丁、轮换加密凭证并启动事件响应流程。Sikorski补充道：“临时应急方案可先断开SharePoint服务器的公网连接直至补丁部署完成。错误的安全认知可能导致威胁持续扩散。”

（事件仍在发展中，请关注后续更新。）

 

 

 

---

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文