Microsoft SharePoint 軟件最近發現零日漏洞,據報該漏洞已被用於對全球企業和至少部分美國政府機構進行大規模攻擊。Microsoft 週六向客戶發出警報,表示已知悉零日漏洞被用於進行攻擊,正努力修補問題,並發佈緊急修復程式解決。
Microsoft 週日更新指引,提供 SharePoint Server 2019 和 SharePoint Server Subscription Edition 的修復指示,工程師仍在為較舊的 SharePoint Server 2016 軟件開發修復程式。這個被稱為「ToolShell」的漏洞獲得 CVE-2025-53770 編號,CVSS 評分達 9.8 分,屬極高風險級別。網絡安全公司 CrowdStrike 高級副總裁 Adam Meyers 警告:「任何擁有託管 SharePoint 伺服器的人都受影響,這是重大漏洞。」
零日攻擊威脅企業核心系統
零日攻擊利用先前未知的安全漏洞進行網絡攻擊。「零日」指安全工程師有零天時間為漏洞開發修復程式。美國網絡安全和基礎設施安全局(CISA)表示,影響 SharePoint 的漏洞「是現有漏洞 CVE-2025-49706 的變體,對擁有內部部署 SharePoint 伺服器的組織構成風險」。
安全研究人員警告,這個被稱為「ToolShell」的漏洞非常嚴重,可讓攻擊者完全存取 SharePoint 檔案系統,包括連接到 SharePoint 的服務,如 Teams 和 OneDrive。Google 威脅情報組警告,該漏洞可能讓惡意行為者「繞過未來的修補程式」。
全球企業和政府機構廣泛使用 SharePoint 進行內部文件管理、數據組織和協作。這種廣泛使用使得漏洞的潛在影響範圍極大,特別是對依賴 SharePoint 進行日常營運的組織更甚。
攻擊規模涉及數千組織
Eye Security 在其網誌表示,掃描了全球超過 8000 個 SharePoint 伺服器,發現至少數十個系統受到攻擊。此外 Palo Alto Networks Unit 42 團隊研究人員指出,攻擊者正在「滲出敏感數據、部署持久後門和竊取加密金鑰」。Unit 42 科技總監兼威脅情報主管 Michael Sikorski 表示:「攻擊者正利用這個漏洞入侵系統並已經建立據點。」
Microsoft 表示漏洞僅影響企業或組織內部使用的內部部署 SharePoint 伺服器,不影響 Microsoft 基於雲端的 SharePoint Online 服務。然而 Sikorski 警告,漏洞仍讓許多組織面臨惡意行為者威脅:「雲端環境未受影響,但內部部署的 SharePoint 部署,特別是政府、學校、醫療保健包括醫院和大型企業公司,正面臨即時風險。」
企業應急響應策略
CISA 週日將該漏洞新增到已知被利用漏洞目錄中,雖然攻擊範圍仍在評估中,但機構警告影響可能廣泛,建議受漏洞影響的任何伺服器應從互聯網中斷連接,直到修補完成。
Microsoft 建議客戶「在 SharePoint 中配置 AMSI 整合並在所有 SharePoint 伺服器上部署 Defender AV,這將阻止未經身份驗證的攻擊者利用此漏洞」。
Mandiant Consulting – Google Cloud 科技總監 Charles Carmakal 評論:「組織需要立即實施緩解措施(以及可用時的修補程式),假設已受攻擊,調查系統是否在修補程式或緩解措施之前受到攻擊,並採取修復行動。」
Sikorski 建議採取即時行動:「我們敦促運行內部部署 SharePoint 的組織立即採取行動,現在和可用時應用所有相關修補程式,輪換所有加密材料,並聘請專業事故響應。即時的權宜修復是將 Microsoft SharePoint 從互聯網中斷連接,直到修補程式可供安裝。」
漏洞技術特性與持續威脅
此漏洞特別令人擔憂,因為它允許黑客在 SharePoint 伺服器修補後仍能模仿用戶或服務。根據首先識別該缺陷的歐洲網絡安全公司 Eye Security 的研究人員,SharePoint 伺服器經常連接到其他 Microsoft 服務,如 Outlook 和 Teams,意味著此類攻擊可能「迅速」導致數據盜竊和密碼竊取。
Google 威脅情報組觀察到「威脅行為者利用此漏洞安裝網絡殼並從受害伺服器滲出加密機密,這允許持久的未經身份驗證存取,對受影響組織構成重大風險」。
Microsoft 表示將在可用時提供更新和其他指引,現時已分配第二個 CVE 識別符 CVE-2025-53771,並開始為 ToolShell 零日漏洞發布修補程式。
