一个黑客组织近日正利用微软SharePoint服务器的一个全新零日漏洞(代号 CVE‑2025‑53770)发起猛烈攻击。这场攻击已对世界各地数以万计的本地部署(on‑premise)SharePoint实例造成影响。在美国、加拿大、澳大利亚等多个国家的政府和企业系统中,已确认存在服务器被攻破或数据被篡改的情况。微软和美国联邦调查局(FBI)正在紧急协同响应。对于我们许多依赖SharePoint进行文档管理、协同办公,甚至与SAP系统进行集成的企业来说,这不仅仅是一条IT新闻,更是一个需要立即响应的直接安全警报。
本次攻击仅影响本地部署的SharePoint Server(2016、2019及订阅版),不包括云端的SharePoint Online服务。
一、攻击细节
- 漏洞属性:该漏洞代号为“ToolShell”,是对今年7月“补丁星期二”活动中刚刚修复的漏洞(CVE‑2025‑49704/49706)的一次“二次绕过”。它属于一个高危的远程代码执行(RCE)漏洞,CVSS评分高达9.8分(满分10分)。
- 攻击范围:截至目前,全球已有超过75台服务器被确认攻破,其中包括美国政府机构、知名大学、能源组织以及一些国际组织。
- 隐蔽的植入与渗透手法:攻击者在成功利用漏洞后,会上传一个名为spinstall0.aspx的Web Shell(网页后门)到服务器上。更危险的是,攻击者会利用这个后门来窃取服务器的ASP.NET MachineKey密钥。一旦获得了这个关键密钥,攻击者便能够伪造用户的__VIEWSTATE(一个用于维持页面状态的安全参数),从而有效地在内网中进行横向渗透,并实现对服务器的持久化控制。
- 广泛的调查行动:美国政府(FBI、CISA)、加拿大和澳大利亚的相关安全机构均已介入调查。他们正在密切监控源自多个恶意IP地址的、针对SharePoint服务器的POST请求。
二、紧急防护
面对此次高危零日攻击,企业运维、安全及应急响应团队必须火速行动,对受影响的系统进行排查、更新与采取补救措施。
1. 立即修补与隔离
- 补丁升级: 立即安装微软针对此漏洞发布的紧急安全更新。目前针对 SharePoint 2019及订阅版 的补丁(KB5002768)已经发布。2016版的补丁待发布,需密切关注。
- 边界隔离: 在完成补丁安装和后续加固前,暂时断开受影响的SharePoint服务器的外网访问。同时,在服务器上启用AMSI(反恶意软件扫描接口)和Defender AV(防病毒),并升级IDS/防火墙规则,以屏蔽已知的攻击指纹。
2. 轮换MachineKey密钥
- 更换密钥: 鉴于攻击者可能会窃取MachineKey,强烈建议在完成补丁安装后,立即为服务器更换一个新的ASP.NET MachineKey。这一步骤至关重要,它能防止已被窃取的密钥在未来继续被攻击者利用。
3. 审计日志,寻找踪迹
- 日志审查: 仔细监控服务器日志中对
/_layouts/15/ToolPane.aspx?DisplayMode=Edit路径的异常访问。同时,全面排查服务器上是否存在未经授权部署的Web Shell文件(如spinstall0.aspx或其他可疑的.aspx文件)。
4. 部署行为检测
- 启用EDR: 部署或强化端点检测与响应(EDR)工具的能力。针对
__VIEWSTATE的枚举行为、异常的内网横向流量、以及服务器上异常的脚本执行(如PowerShell)等行为,设置高优先级的告警与响应机制。
三、为何此次攻击后劲十足
- 成熟的攻击链: 这次攻击结合了“ToolShell”漏洞利用与加密密钥(Cryptographic key)泄露,使得攻击者一旦得手,便能持久、隐蔽地控制服务器,而不仅仅是进行一次性的破坏。
- 普遍存在的安全盲区: 全球范围内,仍有数以万计的SharePoint on‑premise实例长期未得到及时更新,或未启用最佳的安全配置模式,为攻击者提供了大量的可乘之机。
- 备战普遍不充分: 多数组织可能尚未建立定期备份和轮换MachineKey的机制,也缺乏对特定攻击行为的监控能力。一旦服务器被深度攻破,彻底的清除和溯源工作将变得极其困难。
四、赛锐信息观点
这场SharePoint的“零日风暴”再次向我们敲响了警钟:在使用任何企业级的本地部署软件时(无论是SharePoint,还是我们熟悉的SAP系统),持续的补丁管理、深入的行为监控、定期的权限梳理与轮换、以及对核心密钥与凭证的严格保护,是永远不可或缺的安全基石。建议所有企业的IT团队,立即对内部的SharePoint on-premise服务器进行自查,确认其版本与补丁状态,并根据本文的建议,迅速采取行动,加固防线。
企业在向SAP S/4HANA Cloud转型时,SAP 许可 (License) 从 On-Premise 时代的经典指定用户模型转向全新的 FUE 许可模式,且 SAP 产品的许可 (License) 包含诸如“组件授权、用户授权、计量模式”等复杂模型,这对企业来说如同一个黑匣子,难以理解其工作原理。此外,企业还面临 SAP 的 License 审计等合规性问题。赛锐信息在 SAP License 审计流程方面拥有丰富咨询经验,拥有自主研发的高效 SAP License 资产优化软件产品,欢迎企业在需要时随时联系我们,以获得我们的支持服务和软件产品试用体验。
