吳明宜資安業者相信,多個與中國政府有關連的駭客組織涉嫌發動近日濫用 SharePoint Server 零時差漏洞的攻擊。
上周荷蘭資安業者 The Eye Security 發現,近日的 SharePoint 攻擊中,駭客使用名為 ToolShell 的手法濫用 SharePoint 漏洞,駭入了全球數十個組織,包括美國政府、大學及電信業者。該漏洞是舊漏洞 CVE-2025-49704 變種,被微軟命名為 CVE-2025-53770,風險值達 9.8 。微軟上周緊急修補了 SharePoint Server CVE-2025-53770 及 CVE-2025-53771 漏洞。
微軟周二發佈初步調查報告,指其觀測到名為 Linen Typhoon 及 Violet Typhoon 的國家駭客濫用 SharePoint Server CVE-2025-53770 及 CVE-2025-53771 鎖定面向網際網路的 SharePoint Server 。另一名為 Storm-2603 及其他駭客也都在利用這些漏洞。
其他廠商也先後展示其發現。 Google Cloud 的 Mandiant 公司技術長 Charles Carmakal 也觀測到至少有一起早期 SharePoint Server 漏洞攻擊是來自中國的駭客組織。 Check Point 分析,最早在 7 月 7 日攻擊者就鎖定北美和西歐的政府單位、電信業者和軟體公司。
微軟緊急針對二項漏洞修補受影響的 SharePoint 206 、 2019 及 Subsription Edition (SE) 。雖然微軟已經釋出更新版本,但同時間,也有 CVE-2025-53770 的攻擊概念驗證程式公佈在 GitHub 上,使企業陷於更大安全風險。 Censys 估計全球至少有一萬多家組織執行舊版本 SharePoint Server 。
美國網路安全暨基礎架構安全管理署 (CISA) 已將二項漏洞列於「已知被濫用的漏洞」(Known Exploited Vulnerability) 目錄中,要求聯邦政府單位儘速安裝更新。