共计 1768 个字符,预计需要花费 5 分钟才能阅读完成。
微软近日修补了 SharePoint 中的三个零日漏洞,这些漏洞已被用于一系列网络攻击。微软指责三个中国国家行为体利用这些漏洞进行攻击。以下是关于这些安全漏洞的已知信息以及如何防范未来攻击的方法。
微软已经修补了三个关键的 SharePoint 零日安全漏洞,这些漏洞已被黑客利用来攻击大量易受攻击的组织。最初,微软仅为 SharePoint Server Subscription Edition 和 SharePoint Server 2019 发布了修复程序,随后也为 SharePoint Server 2016 推出了补丁。
这两个漏洞被命名为 CVE-2025-53771 和 CVE-2025-53770,仅适用于本地版本的 SharePoint,因此运行基于云的 SharePoint Online 的组织不受影响。
CVE-2025-53771 被定义为 SharePoint Server 的欺骗漏洞,意味着攻击者能够在 SharePoint 环境中冒充受信任的合法用户或资源。CVE-2025-53770 被定义为 SharePoint Server 的远程代码执行漏洞,黑客可以远程在 SharePoint 环境中运行代码。
网络安全提供商 Bugcrowd 的首席信息安全官 Trey Ford 表示:“CVE-2025-53770 使威胁行为者能够远程执行代码,绕过身份保护(如单点登录和多因素认证),从而访问 SharePoint 服务器上的内容,包括配置和系统文件,打开 Windows 域内的横向访问。”
这两个漏洞共同使网络犯罪分子能够安装恶意程序,从而破坏 SharePoint 环境——这正是已经发生的情况。
州官员和私人研究人员告诉《华盛顿邮报》,黑客已经对美国联邦和州机构、大学、能源公司等发起了攻击。根据研究人员的说法,至少有两个美国联邦机构的 SharePoint 服务器已被入侵。令人担忧的是,美国国家核安全管理局也因 SharePoint 漏洞而被入侵。
网络安全公司 Tenable 的首席安全官 Bob Huber 表示:“最近多国政府系统,包括美国国家核安全管理局,因微软漏洞而被入侵,再次提醒我们所面临的风险。这不仅关乎单个漏洞,而是复杂行为者如何利用这些漏洞获取长期利益。”
微软指责三个中国国家行为体——Linen Typhoon、Violet Typhoon 和 Storm‑2603——利用 SharePoint 漏洞。自 2012 年以来活跃的 Linen Typhoon 专门窃取知识产权,主要针对政府、国防、战略规划和人权组织。自 2015 年以来,Violet Typhoon 专注于针对一系列目标的间谍活动,包括前政府和军事人员、非政府组织、智库、高等教育、金融企业和美国的健康相关公司。微软表示,他们相信 Storm‑2603 也位于中国,但尚未发现其与其他中国黑客之间的联系。
微软试图通过 7 月 8 日的 Patch Tuesday 更新来修复服务器欺骗漏洞和远程代码执行漏洞,分别为 CVE-2025-49706、CVE-2025-49704 和 CVE-2025-49701。但显然,这些修复措施并未完全奏效,因为精明的黑客能够绕过它们。
对于运行 SharePoint Server 的组织,微软概述了修复这些漏洞的步骤。对于 Microsoft SharePoint Server Subscription Edition、SharePoint Server 2019 和 SharePoint Server 2016,微软提供了相应的更新页面供下载并安装补丁。
为了进一步保护你的环境,微软提供了以下建议:,
- 确保你运行的是受支持的 SharePoint Server 版本。
- 应用最新的安全补丁,包括 7 月 Patch Tuesday 更新中的补丁。
- 确保 Windows 反恶意软件扫描接口(AMSI)已启用,并与 Defender Antivirus 等反病毒产品正确设置。
- 安装 Microsoft Defender for Endpoint 等安全软件。
- 轮换 SharePoint Server ASP.NET 机器密钥。
Ford 还为拥有 SharePoint 服务器的组织提供了进一步的建议:“在本地运行自己的服务时,询问它们是否真的需要暴露在互联网上,或者对不受信任的方开放。降低攻击面总是明智的——尽量减少你向公共、不受信任的用户提供的服务和主机数量。加固、添加推荐,绝对不要返回修改后的内容。”
