微软于周三披露，近期有多个攻击组织利用本地部署的 SharePoint 漏洞实施攻击，其中一支名为 Storm-2603 的团队被发现部署了 Warlock 勒索软件。

首次攻击于7月7日被发现

微软于7月8日发布更新后，7月7日已有攻击者利用 SharePoint 零日漏洞变种（CVE-2025-53770）发起攻击。随后情况逐渐明朗，但仍有部分信息尚不清晰。

例如，尽管微软称主要被利用的是 CVE-2025-53770，但其官方博客将攻击归因于多个中国威胁组织，并指出被利用的漏洞包括 CVE-2025-49706（欺骗漏洞）和 CVE-2025-49704（远程代码执行漏洞），两者均于7月初部分修补。

微软还澄清了新漏洞与旧漏洞的关系：

1. CVE-2025-53770（不安全的反序列化漏洞，允许未认证攻击者远程执行代码）是 CVE-2025-49704（代码注入漏洞，允许授权攻击者远程执行代码）的变体（绕过补丁）。

2. CVE-2025-53771（路径遍历漏洞，允许未授权攻击者进行网络欺骗）与 CVE-2025-49706（身份验证不当漏洞，允许授权攻击者进行网络欺骗，可能查看敏感信息及部分修改）相关。

目前，微软和美国网络安全机构尚未确认 CVE-2025-53771 被利用，但其他安全公司表示该漏洞已被攻击者使用。

无论如何，微软确认攻击者自7月7日起就开始尝试利用 CVE-2025-49704 和 CVE-2025-49706 进入目标组织网络。Check Point Research 也表示，他们在同日侦测到首次利用尝试，目标为一家主要西方政府机构。此后，更多美国及全球具体目标被确认。

Storm-2603 利用 SharePoint 漏洞部署勒索软件

微软威胁情报分析师表示，这些攻击采用的战术、技术和程序（TTPs）与已知威胁组织活动一致。

涉事威胁组织包括中国国家支持的 Linen Typhoon 和 Violet Typhoon，前者专注于知识产权窃取，后者聚焦间谍活动；以及另一支疑似中国背景的 Storm-2603，主要以部署勒索软件为主。

过去 Storm-2603 曾部署 Warlock 和 Lockbit 勒索软件，本次攻击中据称主要使用了 Warlock。

在最新的攻击中，Storm-2603 的行为包括：

· 利用上述漏洞获取易受攻击的本地部署 SharePoint 服务器访问权限

· 进行侦察，枚举用户上下文并验证权限等级

· 通过直接修改注册表禁用 Microsoft Defender 防护

· 通过安装 Web Shell、创建计划任务及操作 IIS 组件以加载可疑的 .NET 程序集，实现持久化

· 使用 Mimikatz 从本地安全机构子系统服务（LSASS）内存中提取明文凭据

· 利用 PsExec（用于提权）、Impacket 工具包和 Windows 管理工具（WMI）进行横向移动

· 修改组策略对象（GPO），在受感染环境中分发 Warlock 勒索软件

预计更多不同黑客组织的攻击将陆续出现

迄今为止的攻击很可能只是开始。随着最初的 ToolShell 攻击链（CVE-2025-49706 和 CVE-2025-49704）技术细节公开，以及 CVE-2025-53770 的漏洞利用代码在 GitHub 上发布，其他技术熟练的攻击者很可能会加入，抢占仍未及时修补的面向互联网的本地 SharePoint 服务器漏洞。

SANS 网络风暴中心指出：“SharePoint 利用已经进入寄生阶段。我们观察到超过100个不同的可能 Web Shell URL 受到攻击，其中部分可能是猜测，但大部分很可能是 ToolShell 利用漏洞过去几天内创建的 Web Shell。”

所有过去一个月内面向互联网开放本地 SharePoint 服务器的组织，应假设已遭入侵，立即展开调查，安装更新和缓解措施，并旋转 ASP.NET 机器密钥。