内容管理与团队协作平台SharePoint在企业的数位转型与协作当中扮演极为重要的角色,一旦这种系统出现资安漏洞,就可能让企业内部的机密资料外泄或是破坏,上周末出现
究竟这起事故曝险的范围有多大?Eye Security并未在部落格文章提及,但他们向等资安新闻媒体透露,至少有85台SharePoint受害,这些伺服器是由29家企业组织掌管,其中部分是跨国企业组织及政府机关。 针对相关攻击行动的发现,Eye Security先在世界协调时间(UTC)18日晚间18时察觉ASPX恶意酬载,后续于19日凌晨发布部落格警告此事,随后于19日17时发现第二波大规模漏洞攻击。 他们起初是在客户部署CrowdStrike Falcon EDR系统的主机收到异常警示,并看到骇客在旧版SharePoint伺服器执行一系列可疑活动,上传有问题的ASPX档案。但怪异的是,此SharePoint伺服器并未留下成功通过ADFS身分验证的记录,也没有在IIS伺服器的事件记录当中,留下存取网页伺服器的使用者名称资料(cs-username),IIS伺服器事件记录的参照资料更是指向使用者登出的ASPX网页(/_layouts/SignOut.aspx),根据上述现象,Eye Security认为,这些SharePoint伺服器之所以遭到入侵,对方应该不是采用暴力破解或是网钓攻击。 经过调查,Eye Security确认攻击者使用了零时差漏洞,其相关手法与数日前红队演练业者Code White公布的CVE-2025-49706、CVE-2025-49704,Eye Security根据Code White公布的概念验证资料,从而确定是新的零时差漏洞。 究竟骇客的目的为何?Eye Security原以为骇客打算透过Web Shell来执行命令、上传档案,或是在网路环境横向移动,但他们看到对方埋入更危险的档案spinstall0.aspx,而且,此档案的主要功能,就是解开受到加密演算法保护的帐密资料并外流,然后试图在SharePoint伺服器植入恶意程式Sharpyshell。不过,Sharpyshell并非典型的Web Shell,没有任何互动的命令、反向Shell,或是C2通讯的逻辑,而是透过.NET的方法(Method)读取SharePoint伺服器的MachineKey组态,来产生有效酬载valid __VIEWSTATE,并将任何通过身分验证的SharePoint请求,转成远端执行程式码之用。