微软上周六发布客户指引,警告一项SharePoint重大漏洞CVE-2025-53770已遭到滥用。使用本地部署SharePoint Server的9000多家组织都可能受害,台湾也有数十台机器曝险。
这波攻击是由资安厂商Eye首先发现SharePoint Server二项漏洞,包括CVE-2025-53770及CVE-2025-53771于7月17日证实遭到串联利用对本地部署SharePoint Server用户发动攻击。
两项漏洞为微软7月修补的漏洞变种。7月初另一批研究人员发现SharePoint Server CVE-2025-49706及CVE-2025-49704可被串联使用,而结合验证绕过技巧(ToolShell)可将其武器化。微软随后将被武器化的CVE-2025-49706命名为CVE-2025-53770,风险值为9.8。CVE-2025-53771则为7.1。
Eye公司研究人员扫瞄全球8000余台SharePoint伺服器,侦测到有数十起滥用情形。华盛顿邮报则报导,这波攻击影响美国联邦政府机构、大学、能源公司及亚洲一家电信业者。
但其他研究人员相信若SharePoint用户不采取行动,将导致更大规模攻击。Censys首席研究员Silas Cutler对Techcrunch表示,该公司判断骇客似乎一开始锁定一小群政府机关相关对象发动攻击,但是随著更多骇客复制了滥用手法,可能会有更多组织受害。
根据ShadowServer Foundation和Censys合作,到7月18日,全球有9300多台SharePoint Server IP位置曝露。其中1/3位于美国(逾3000),其次是荷兰、爱尔兰、英国,皆在500台以上,加拿大也将近500台,到了7月20日数字并没有明显下降。值得注意的是台湾也有62个IP曝险。
发动CVE-2025-53770滥用的行动者身份尚不清楚。CISA已在周末发出警告。CISA并引用微软的客户指引。
微软已经针对这项漏洞释出安全更新,呼吁用户应立即升级到最新版本。此外,客户应启用SharePoint整合反恶意软体扫瞄介面(Antimalware Scan Interface)完整模式(full mode),该模式可部署Defender Antivirus到所有SharePoint伺服器,也可部署Microsoft Defender for Endpoint或类似方案。此外,应扫瞄107.191.58[.]76、104.238.159[.]149及96.9.125[.]147有无异常活动,特别是7月18及19日,并检查/_layouts/15/ToolPane.aspx?DisplayMode=Edit的POST呼叫。