吳明宜安全研究人口員上周發現微軟 SharePoint Server 遭到一個駭客組織攻擊一個當時未知的重大漏洞,而且似乎已有美國政府部門受害。微軟於周末緊急修補。
上周 The Eye Security 研究人員在掃瞄 SharePoint 8000 多台伺服器發現了 50 多起濫用活動。駭客是利用 SharePoint Server CVE-2025-53770 及 CVE-2025-53771 。其中 CVE-2025-53770 為微軟七月份修補的 CVE-2025-49706 的變種,風險值達 9.8 。 CVE-2025-53771 則為 7.1,可讓授權攻擊者從網路上冒名存取,執行目錄遍歷 (path traversal) 。
研究人員說,攻擊者串聯這兩項漏洞,並使用名為 ToolShell 的手法來繞過驗證,使未經驗證的人士可存取系統,以及完整的 SharePoint 內容,包含檔案系統及內部配置,並執行程式碼。
Google 威脅情報小組指出,攻擊者可以利用 CVE-2025-53770 植入 webshell 並自受害伺服器竊取密碼或憑證,而讓攻擊者持續未授權存取,對受害組織造成重大風險。
華盛頓郵報報導,Eye Security 研究人員發現的 50 多起攻擊中,受害者包含美國聯邦政府機構及州議會、大學、能源業及一家亞洲電信業者受害。安全廠商 Censys 並且評估.有超過 1 萬家企業將因此漏洞曝露於被駭風險,其中曝露 IP 位址的 SharePoint 伺服器,主要集中在美國,其次是荷蘭、英國、加拿大、愛爾蘭等,但也有亞洲組織企業。
此外,Palo Alto Networks Unit42 周六也發現,SharePoint 舊漏洞 CVE-2025-49704 及 CVE-2025-49706 也有濫用活動。
4 項漏洞都是影響 SharePoint 本地部署環境,包括 SharePoint 2016 、 2019 及 Subscription Edition (SE) 。 SharePoint Online 不受影響。
微軟已緊急發佈更新,建議客戶儘速安裝,並且啟用 SharePoint 整合的 Antimalware Scan Interface (AMSI) 及部署 Microsoft Defender Antivirus,掃瞄 107.191.58[.]76 、 104.238.159[.]149 及 96.9.125[.]147 的異常活動,特別是 7 月 18 及 19 日,並應輪換 SharePont Server ASP.NET 金鑰。
來源:SecurityWeek 、 Microsoft 、 CISA