卡巴斯基全球研究與分析小組(GReAT)最新研究發現,近期在
Microsoft SharePoint 中被大規模利用的 ToolShell 漏洞,竟然源自於 2020 年 CVE-2020-1147 漏洞的修補不完全。這項發現揭露了一個令人震驚的事實:微軟花了五年時間才真正修復這個安全漏洞。
根據卡巴斯基安全網路(Kaspersky Security Network)的監測數據,全球多個地區已經出現攻擊活動,包括埃及、約旦、俄羅斯、越南和尚比亞。攻擊者主要鎖定政府機關、金融業、製造業以及林業與農業等關鍵產業的組織。
技術分析揭露修補缺陷
卡巴斯基 GReAT 研究團隊深入分析 ToolShell 漏洞利用程式(exploit)後,發現其攻擊手法與 2020 年的 CVE-2020-1147 漏洞極為相似。這項發現證實了新發布的 CVE-2025-53770 修補程式,才是真正解決五年前 CVE-2020-1147 所要修復的安全問題。
更令人擔憂的是,當微軟在今年 7 月 8 日修補 CVE-2025-49704 和 CVE-2025-49706 兩個漏洞後,研究人員發現攻擊者只需要在攻擊程式碼中加入一個斜線「/」字元,就能輕易繞過(bypass)這些修補。這種簡單的繞過技術凸顯了原始修補的嚴重缺陷。
微軟在得知這些漏洞已經被積極利用後,迅速推出更完整的修補程式,並針對繞過技術進行修正,將這些新發現的漏洞分別命名為 CVE-2025-53770 和 CVE-2025-53771。然而,在首次發現漏洞利用與最終修補部署之間的空窗期,全球針對 SharePoint 伺服器的攻擊活動已經急遽升溫。
長期威脅預警
儘管目前已經釋出 ToolShell 漏洞的修補程式,卡巴斯基預測攻擊者在未來數年仍會持續利用這個漏洞鏈進行攻擊。卡巴斯基 GReAT 首席安全研究員 Boris Larin 指出,許多重大漏洞在發現多年後仍被積極利用,例如 ProxyLogon、PrintNightmare 和 EternalBlue 等知名漏洞,至今仍對未修補的系統造成威脅。
Larin 進一步表示,由於 ToolShell 的利用方式相當簡單,公開的漏洞利用程式很快就會被整合到各大滲透測試工具中,這將確保攻擊者能夠長期使用這個攻擊手法。這種情況對於更新修補緩慢的組織來說,將構成持續性的安全威脅。
相關文章:SharePoint重大漏洞遭中國三個駭客組織大規模攻擊 美國核武機構也淪陷
防護建議
為了保障組織安全,卡巴斯基提出以下建議:
- 立即安裝最新安全修補:所有使用 Microsoft SharePoint 的組織必須立即安裝最新的安全更新。對於高風險漏洞而言,即使是短暫的暴露期也可能導致系統遭到入侵。
- 部署零時差防禦方案:建議部署能夠防禦零時差漏洞的資安解決方案,特別是在修補程式尚未發布的情況下。卡巴斯基 Next 內建的行為偵測功能,能夠主動封鎖此類漏洞的利用行為,提供即時防護。
延伸閱讀:Storm-2603駭客組織部署AK47 C2框架 同時散布雙重勒索軟體