![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科微软发布紧急补丁,修复被利用的 SharePoint 远程代码执行漏洞](https://www.anquan114.com/wp-content/uploads/2025/07/20250718114624695-image.png)
微软周日发布了针对SharePoint中一个正被恶意利用的安全漏洞的补丁,并同时公布了另一个漏洞的细节,该漏洞已通过“更强大的防护措施”得到解决。
微软承认,“目前发现攻击者正利用7月安全更新中未完全修复的漏洞,针对本地部署的SharePoint Server客户发起攻击”。
被利用的漏洞编号为CVE-2025-53770(CVSS评分:9.8),属于高危远程代码执行漏洞。该漏洞源于本地部署的Microsoft SharePoint Server在处理不可信数据时存在反序列化缺陷。
新披露的漏洞是一个SharePoint欺骗漏洞(CVE-2025-53771,CVSS评分:6.3)。一位匿名安全研究员因发现并报告该漏洞获得了微软官方致谢。
微软在2025年7月20日发布的安全公告中指出:“Microsoft Office SharePoint存在路径遍历漏洞,由于对受限目录的路径名限制不当,导致授权攻击者可通过网络实施欺骗攻击。”
微软还指出,CVE-2025-53770和CVE-2025-53771与另外两个SharePoint漏洞(CVE-2025-49704和CVE-2025-49706)存在关联,这些漏洞可被串联利用形成远程代码执行攻击链。该攻击链被称为ToolShell,已在微软2025年7月“补丁星期二”更新中得到修复。
微软表示:“针对CVE-2025-53770的更新比CVE-2025-49704的修复措施更完善”,“针对CVE-2025-53771的更新也比CVE-2025-49706的防护能力更强”。
值得注意的是,微软此前曾将CVE-2025-53770归类为CVE-2025-49706的变体漏洞。对此,微软发言人向媒体解释:“公司优先保障更新推送,同时会及时纠正内容不准确之处。”微软强调当前发布的信息准确无误,表述差异不影响对客户的安全指导。
这两个漏洞仅影响本地部署的SharePoint服务器,不涉及Microsoft 365中的SharePoint Online。目前已修复的版本包括:
- Microsoft SharePoint Server 2019(16.0.10417.20027)
- Microsoft SharePoint Enterprise Server 2016(16.0.5508.1000)
- Microsoft SharePoint Server Subscription Edition
- Microsoft SharePoint Server 2019 Core
- Microsoft SharePoint Server 2016(待确认)
为防范潜在攻击,建议用户采取以下措施:
- 使用受支持的本地SharePoint版本(SharePoint Server 2016、2019及Subscription Edition)
- 立即安装最新安全更新
- 开启反恶意软件扫描接口(AMSI)并启用全模式防护,同时配置Defender Antivirus等杀毒软件
- 部署Microsoft Defender for Endpoint或同类威胁防护解决方案
- 轮换SharePoint Server的ASP.NET机器密钥
微软特别提醒:“安装上述安全更新或启用AMSI后,必须轮换SharePoint服务器的ASP.NET机器密钥,并重启所有SharePoint服务器的IIS服务。若无法启用AMSI,安装更新后也需立即轮换密钥。”
有安全公司向媒体透露,已有至少54家机构遭受攻击,包括银行、高校及政府部门。据该公司称,攻击活动始于7月18日左右。
美国网络安全和基础设施安全局(CISA)已将CVE-2025-53770纳入已知被利用漏洞目录,要求联邦民用行政机构在2025年7月21日前完成修复。
帕洛阿尔托网络公司(Palo Alto Networks)旗下Unit 42团队也在追踪这起“高影响、持续性威胁事件”,指出政府、教育机构、医疗机构(含医院)及大型企业面临直接风险。
Unit 42首席技术官兼威胁情报负责人Michael Sikorski表示:
“攻击者正绕过MFA和SSO等身份验证机制获取特权访问权限。入侵后会窃取敏感数据、植入持久化后门并盗取加密密钥。攻击者已利用该漏洞建立攻击据点。”
“本地SharePoint服务器若暴露在公网环境,应假定已遭入侵。仅靠补丁无法彻底清除威胁。更危险的是SharePoint与微软生态的深度整合,Office、Teams、OneDrive和Outlook等服务存储的敏感信息都会成为攻击目标,一次入侵可能导致整个网络沦陷。”
该安全厂商将此次事件列为高严重度、高紧急度威胁,敦促本地SharePoint用户立即安装补丁、轮换加密凭证并启动事件响应流程。Sikorski补充道:“临时应急方案可先断开SharePoint服务器的公网连接直至补丁部署完成。错误的安全认知可能导致威胁持续扩散。”
(事件仍在发展中,请关注后续更新。)
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容