SharePoint高危漏洞分析：CVE-2025-53770和CVE-2025-53771远程代码执行风险

背景

两个零日漏洞（追踪编号CVE-2025-53770和CVE-2025-53771）在微软本地部署SharePoint服务器中被发现。这些漏洞的CVSS v3.1评分分别为9.8（严重）和6.3（高危）。受影响的版本包括：订阅版-KB5002768、SharePoint 2019-KB5002754、SharePoint 2016-KB5002760。这些漏洞组合可能允许未经授权的用户通过网络执行远程代码。

这些漏洞与早期一组被称为"ToolShell"的CVE相关，这些CVE被追踪为CVE-2025-49706和CVE-2025-49704，已在微软7月补丁星期二得到修复。这些漏洞最初在Pwn2Own Berlin被演示为"概念验证"漏洞，用于实现远程代码执行。最新的漏洞组（CVE-2025-53770和CVE-2025-53771）能够绕过之前的漏洞修复，允许威胁行为者入侵并对本地SharePoint服务器发起攻击。

Sharepoint漏洞时间线

以下是根据Cybereason DFIR和GSOC团队构建的事件时间线：

• 2025年5月 - 在Pwn2Own Berlin上，Viettel Cyber Security演示了使用CVE-2025-49704（反序列化RCE）和CVE-2025-49706（认证绕过）的链式SharePoint攻击（ToolShell）
• 2025年7月9日（补丁星期二） - 微软发布CVE-2025-49704和CVE-2025-49706的修复程序
• 2025年7月14日 - CODE WHITE GmbH重现了ToolShell利用链
• 2025年7月18日 - Eye Security观察到SharePoint服务器的主动利用，最初归因于之前的CVE
• 2025年7月18日晚 - Eye Security开始调查并发现这是新的零日漏洞
• 2025年7月20日 - 微软正式承认存在主动攻击并分配CVE-2025-53770，将其添加到CISA已知被利用漏洞目录
• 2025年7月20-21日 - 微软为SharePoint Server订阅版和2019版发布紧急补丁；SharePoint 2016的补丁仍在开发中
• 2025年7月21日 - Cybereason通过MDR服务监控全球受保护的客户，并观察到后续威胁行为者开始利用各种webshell和不同的攻击模式在入侵路径中移动
• 2025年7月22日 - 微软将初始零日和相关SharePoint攻击归因于几个与中国有关的黑客组织，包括Linen Typhoon、Violet Typhoon和Storm-2603。Cybereason高度确信后续威胁行为者组织已经并将继续武器化此漏洞用于电子犯罪/经济动机目的

建议

以下是我们DFIR团队的关键建议：

假设已遭入侵

如果您的Sharepoint服务器在这些CVE被识别时面向互联网，我们建议：

• 在应用补丁和进行事件响应调查期间，隔离和/或关闭受影响的Sharepoint服务器
• 在完全模式下启用AMSI
• 修补或启用AMSI后轮换ASP.NET机器密钥：使用PowerShell（Update-SPMachineKey）或在中央管理中运行作业
• 按照Microsoft文档使用iisreset.exe重新启动IIS

历史（回溯）事件响应调查建议：

• 搜索包含以下内容的POST请求：/_layouts/15/ToolPane.aspx?DisplayMode=Edit
• 查找Referer头/_layouts/SignOut.aspx和可能的用户代理Firefox/120.0或其URL编码形式
• 轮换SharePoint ASP.NET机器密钥。初始威胁行为者针对这些密钥生成有效的ViewState令牌。后续威胁行为者似乎偏离了专注于内部网络枢纽的模式（已观察到）
• 扫描layouts文件夹中的.aspx webshell（例如spinstall0.aspx）和其他可疑文件，重点关注最近创建的文件
• 调查生成编码PowerShell脚本的w3wp.exe进程
• \layouts文件夹中的未经授权.aspx文件（例如spinstall0.aspx）
• 类似w3wp.exe → cmd.exe → PowerShell的进程链
• 搜索由于CVE-2025-53770利用可能已安装的任何其他webshell或恶意.aspx文件，无论命名约定如何

临时措施

• 如果您是Microsoft客户，请在所有SharePoint服务器上启用反恶意软件扫描接口（AMSI）并安装Microsoft Defender for Endpoint/Antivirus（或等效产品）
• 如果您有替代的EDR解决方案，供应商可能已经或正在发布更新的检测流程和手册
• 如果您有MDR提供商，应询问他们对此漏洞的检测和警报协议，以及是否对潜在利用进行了主动调查
• 添加IPS/WAF签名以阻止利用；特别是到ToolPane.aspx的POST请求与匹配的Referer
• 如果无法立即应用补丁或无法启用AMSI，请在修复完成前将面向公众的SharePoint服务器与互联网断开连接
• 增强服务器日志记录（IIS、Sysmon、Windows事件）以检测异常POST、layouts下的新文件写入和可疑脚本执行链

我们还强烈建议聘请事件响应团队来确认调查的彻底性和确认威胁行为者已被清除。

我们的团队随时准备回答与这些漏洞相关的任何问题。请通过response@cybereason.com 24x7联系我们。