欢迎来到公海710 ToolShell:严重的 SharePoint RCE 被积极利用
摘要
ToolShell 是一种高严重性 RCE 漏洞,主要针对本地 Microsoft SharePoint 服务器。通过链接 CVE-2025-49706、CVE-2025-49704 和新的 CVE-2025-53770,攻击者可以绕过身份验证、写入任意文件并获得持久访问权限。剥削现象在政府、金融和医疗保健领域普遍存在。需要立即采取行动:应用 Microsoft 的紧急补丁、轮换 ASP.NET 计算机密钥、启用 AMSI 并扫描 Web shell,例如 spinstall0.aspx。将未打补丁的 SharePoint 服务器视为可能容易受到攻击。
一种名为 ToolShell 的危险远程代码执行 (RCE) 漏洞正在主动针对本地 Microsoft SharePoint 服务器。此漏洞的严重性允许攻击者绕过身份验证、写入任意文件并在没有有效凭据的情况下执行代码。运行 SharePoint 2016、2019 或订阅版的组织面临直接且严重的风险。
Microsoft、CISA 和多个网络安全研究人员已证实存在积极的利用行为。如果您管理本地 SharePoint,这是一个危急情况,需要立即采取果断的行动。
什么是 ToolShell?
ToolShell 不是一个单一的漏洞。这是一个链式漏洞利用,将之前修补的缺陷与新的旁路结合起来,以重新获得对易受攻击的服务器的访问。
- 补丁规避失败
- CVE 2025 49706– 通过操纵 Referer 标头绕过身份验证
- CVE 2025 49704– 未经身份验证的任意文件写入
- CVE 2025 53770– 新发现的绕过方法,可以绕过前两个 CVE 的现有补丁
- 补丁后爆发Microsoft 于 2025 年 7 月 19 日至 20 日发布了针对 SharePoint 订阅版和 SharePoint 2019 的补丁。SharePoint 2016 仍未修补,导致旧系统极易受到攻击。
- 野外开发根据 Varonis 和 Microsoft 安全响应中心的说法,攻击者正在部署 Web shell,例如 spinstall0.aspx。这些 shell 获取 ASP.NET 机器密钥,允许伪造令牌、持久访问和企业网络内部的横向移动。
攻击时间线
| Timeline Date | 活动 |
|---|---|
| 7 月 17 日至 18 日 | 安全研究人员开始观察现实世界的利用情况,包括无文件技术。 |
| 7 月 19 日 | Microsoft 在安全通报中确认了零日漏洞并发布了紧急补丁。 |
| 7 月 20 日至 21 日 | 为 SharePoint 2019 和订阅版发布的补丁。 CISA 将 CVE 2025 53770 添加到其已知利用的漏洞 (KEV) 目录中。 |
| 7 月 21 日至 22 日 | 积极的利用仍在继续,目标是政府、金融、医疗保健和能源部门的高价值组织。 |
谁面临风险?
组织正在运行本地 Microsoft SharePoint 服务器是 ToolShell 漏洞利用的主要目标。
- SharePoint 2016– 目前最高风险由于尚未发布官方补丁。暴露在互联网上的系统正在被积极扫描和利用。
- SharePoint 2019 和订阅版– 补丁可用,但未修补或延迟的更新会使服务器容易受到主动攻击。
- SharePoint Online– 不受此漏洞影响。
报告违规行为的行业包括政府机构、大学、能源和公用事业提供商、电信公司、金融机构和医疗保健组织。这些行业因其敏感数据和运营影响而成为有吸引力的目标,因此立即修补和事件响应至关重要。
立即缓解措施
运行本地 SharePoint 的企业必须立即采取行动,以减少暴露并限制潜在损害。立即采取行动不仅是建议,而且是必要的。
1。立即修补
立即应用 Microsoft 的紧急更新以关闭活跃的漏洞利用链:
- 订阅版– KB5002768
- SharePoint 2019– KB5002754
- SharePoint 2016– 尚未发布补丁。断开这些服务器与面向互联网的访问的连接,或将它们限制在 VPN 和身份验证网关后面,直到修复可用。
延迟补丁会显着增加受到攻击的风险,因为攻击者会主动扫描易受攻击的服务器。
2。增强补丁后的安全性
如果系统已经受到威胁,单独修补并不会消除持久性。通过以下方式加强防御:
- 启用反恶意软件扫描接口 (AMSI)在 SharePoint 中实现更好的基于脚本的攻击检测。
- 正在运行Microsoft Defender或等效的 EDR 工具来阻止可疑活动。
- 旋转ASP.NET 机器密钥并重新启动 IIS 以使攻击者可能窃取来伪造身份验证令牌的任何密钥失效。
3。包含曝光
对于无法立即修补的服务器:
- 断开公开的 SharePoint 服务器与互联网的连接。
- 使用限制对受信任网络的访问VPN或身份验证网关.
- 监控异常的身份验证尝试,因为攻击者可能已经获取了用于持久访问的计算机密钥。
4。狩猎和检测
假设系统在打补丁之前就暴露了。调查:
- 可疑文件– 检查 SharePoint 中是否有 spinstall0.aspx 等 Web shell布局目录。
- 流程异常– 查找执行链,例如:w3wp.exe → cmd.exe → powershell -EncodedCommand
- 使用来自的狩猎指南和工具Microsoft Defender XDR、Rapid7、Arctic Wolf 或 SentinelOne识别横向移动或数据泄露尝试。
事件响应团队应收集取证数据,检查 IIS 日志是否有异常上传,并检查是否有未经授权的计算机密钥更改。
立即保护您的 SharePoint
ToolShell 凸显了本地和混合环境日益增长的风险。 欢迎来到公海710 凭借在身份、威胁防护和数据治理方面经过验证的专业知识,帮助企业保护 Microsoft 365 和相关服务的安全。从快速补丁验证到持续监控,我们提供策略和工具来降低风险并防止高级攻击影响您的业务。 >安排您的 Microsoft 365 安全评估
作者
蒂姆·雷格