微軟昨日發布緊急安全更新,修補遭駭客積極利用的 SharePoint 零時差漏洞,並承認「已偵測到針對地端部署 SharePoint 伺服器的主動攻擊行動」。此次攻擊行動已波及全球超過54個組織,包括政府機關、銀行、大學及醫療機構。
ToolShell 攻擊鏈重現 新漏洞繞過七月修補
被稱為「ToolShell」的攻擊鏈最初於今年五月柏林 Pwn2Own 駭客競賽中被發現,微軟已於七月份例行更新中修補相關漏洞。然而,威脅行為者發現兩個新的零時差漏洞,成功繞過先前的修補程式,重新啟動 ToolShell 攻擊行動。
此次攻擊涉及兩個漏洞:CVE-2025-53770(CVSS 評分:9.8)為遠端程式碼執行漏洞,源於 SharePoint 伺服器對不可信資料的反序列化處理;CVE-2025-53771(CVSS 評分:6.3)為路徑遍歷漏洞,允許授權攻擊者在網路上進行欺騙攻擊。
根據 Palo Alto Networks Unit 42 威脅情報團隊分析,攻擊者能夠繞過包括多重要素驗證(MFA)和單一登入(SSO)在內的身份控制機制,取得特權存取權限。一旦入侵成功,攻擊者會外洩敏感資料、部署持續性後門程式,並竊取加密金鑰。
特別令人憂慮的是,攻擊者會竊取 SharePoint 內部加密金鑰,包括用於保護
__VIEWSTATE 參數的 MachineKey。透過這些金鑰,攻擊者能夠製作偽造的
__VIEWSTATE 負載,讓 SharePoint 視為合法請求,進而實現無縫遠端程式碼執行。
兩波攻擊行動席捲全球
荷蘭資安公司 Eye Security 於週五晚間率先發現此漏洞遭大規模利用,並透過網路掃描發現數十個系統在兩波攻擊中遭到入侵,攻擊時間分別為七月18日約18:00 UTC及七月19日約07:30 UTC。該公司已主動通知受影響組織及相關國家電腦緊急回應小組(CERT)。
美國網路安全暨基礎設施安全局(CISA)已將 CVE-2025-53770 列入已知遭利用漏洞(KEV)目錄,要求聯邦民用行政部門機關須於七月21日前完成修補。
緊急更新已釋出 SharePoint 2016 版本仍待修補
微軟已釋出 SharePoint Subscription Edition 和 SharePoint 2019 的緊急安全更新,完整解決 CVE-2025-53770 和 CVE-2025-53771 漏洞威脅。管理員應立即安裝以下更新:
- SharePoint Server 2019:KB5002754 更新
- SharePoint Subscription Edition:KB5002768 更新
- SharePoint 2016:更新尚未發布
安裝更新後,管理員必須執行 SharePoint 機器金鑰輪替,可透過 PowerShell 的 Update-SPMachineKey 指令或中央管理網站的機器金鑰輪替定時工作完成。輪替完成後須重新啟動所有 SharePoint 伺服器的 IIS 服務。
專家強調,由於攻擊者已竊取加密金鑰,單純修補程式無法完全清除威脅。建議受影響組織應:
- 啟用 Windows 反惡意軟體掃描介面(AMSI)並設定為完整模式
- 部署 Microsoft Defender 防毒軟體或同等威脅偵測方案
- 輪替所有 SharePoint 伺服器的 ASP.NET 機器金鑰
- 進行完整的事件回應調查
Unit 42 首席技術長 Michael Sikorski 警告:「如果您的 SharePoint 地端部署環境暴露於網際網路,應假設已遭入侵。SharePoint 與 Microsoft 平台的深度整合,包括 Office、Teams、OneDrive 和 Outlook 等服務,使得入侵影響不會局限於單一系統,而是為整個網路開啟攻擊之門。」
值得注意的是,
此次漏洞僅影響地端部署的 SharePoint 伺服器,Microsoft 365 中的 SharePoint Online 不受影響。專家建議組織在取得修補程式前,可考慮暫時中斷 SharePoint 與網際網路的連線,作為緊急應變措施。