微软SharePoint五重漏洞剖析：ToolShell攻击链技术内幕

漏洞背景

2025年7月18日起，全球多国 SharePoint 服务器遭受无认证要求的RCE攻击。攻击链包含两个核心漏洞：CVE-2025-49704（反序列化漏洞）和CVE-2025-49706（认证绕过漏洞），统称"ToolShell"。微软随后紧急发布CVE-2025-53770/53771补丁修复补丁绕过问题。

攻击技术剖析

漏洞利用链

1. CVE-2025-49706认证绕过
2. 存在于PostAuthenticateRequestHandler方法（Microsoft.SharePoint.dll）
3. 当HTTP请求头Referrer包含/_layouts/[14|15]/SignOut.aspx时触发逻辑缺陷
4. 绕过关键认证检查条件：flag6=false且flag7=true
5. CVE-2025-53771补丁绕过
6. 初始补丁通过检查路径是否以ToolPane.aspx结尾
7. 绕过方法：在路径末尾添加/字符（如ToolPane.aspx/）
8. CVE-2025-49704反序列化漏洞
9. 通过/_layouts/15/ToolPane.aspx端点传递恶意WebPart标记
10. 利用ExcelDataSet控件的CompressedDataTable属性注入恶意DataSet
11. 通过ExpandedWrapper技术绕过XML类型校验（将危险对象置于List中）
12. CVE-2025-53770根本修复
13. 更新XmlValidator实现严格的类型校验
14. 修复需手动运行SharePoint配置升级向导的安全缺陷

技术对抗时间线

防御建议

1. 立即安装2025年7月20日安全更新
2. 手动执行SharePoint配置升级（即使已安装早期补丁）
3. 启用行为检测解决方案（如Kaspersky Next）
4. 监控以下IoC：
   • HTTP请求特征：Referrer: /_layouts/15/SignOut.aspx
   • 恶意WebPart标记包含ExcelDataSet控件声明
   • 异常反序列化操作日志

长期影响评估

该漏洞链具有以下特点：

• 利用复杂度低（单HTTP请求即可完成攻击）
• 攻击面广（全球约43%企业使用受影响SharePoint版本）
• 残余风险高（类似ProxyLogon的长期利用预期）