原文链接: https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652070764&idx=1&sn=522969c64e7e97b9653ead4faf6c2488

【安全圈】微软服务器软件被曝严重安全漏洞，黑客借此在全球发起攻击

安全圈 2025-07-21 11:01

关键词

漏洞

🚨 全球SharePoint服务器遭“零日”攻陷，政府与企业紧急应对！

据《华盛顿邮报》独家报道，黑客组织近日利用 SharePoint 服务器的全新零日漏洞
（代号 CVE‑2025‑53770）发起攻击，已对世界各地数以万计的 on-premise SharePoint 实例造成影响。在美国、加拿大、澳大利亚等多国政府和企业系统中，已确认存在被攻破或篡改的情况。微软和美国联邦调查局（FBI）正在紧急协同响应。

⚠️ 攻击细节揭秘

• 漏洞属性
  ：CVE‑2025‑53770（又名 ToolShell），是对 7 月 Patch Tuesday 修复漏洞（CVE‑2025‑49704/49706）的二次绕过，属于高危远程代码执行漏洞，评分高达 9.8。

• 攻击范围
  ：仅影响 on‑premise SharePoint Server（2016/2019 及订阅版），不包括 SharePoint Online。已有 75+ 服务器被攻破，包括美政府、大学、能源机构及国际组织等。

• 隐蔽植入
  ：攻陷者上传名为 spinstall0.aspx 的 web shell，窃取 MachineKey 密钥，以伪造 __VIEWSTATE，有效实施横向渗透和持久控制。

• 广泛调查
  ：美国政府（FBI、CISA）及加拿大、澳洲机构均已介入，监控源自多个恶意 IP 地址的 POST 请求。

🛡️ 防护建议：即刻行动不可拖延

防护层面	关键措施
补丁升级	立即安装微软发布的紧急更新（2019 & Subscription Edition KB5002768，2016版待发布）。
边界隔离	暂时断开受影响服务器外网访问；启用 AMSI 和 Defender AV；升级 IDS/防火墙规则屏蔽 exploit 指纹。
密钥轮换	更换 ASP.NET MachineKey，防止已窃取密钥继续被利用。
日志审计	监控 /_layouts/15/ToolPane.aspx?DisplayMode=Edit 和未经授权部署的 web shell。
行为检测	部署 EDR，对 __VIEWSTATE 枚举、网络横向流量、异常脚本执行进行告警响应。

📌 为什么此次攻击影响深远？

• 攻击链成熟
  ：结合 ToolShell 漏洞与 Cryptographic key 泄露，攻击者能持久隐蔽地控制服务器。

• 盲区普遍存在
  ：数以万计的 SharePoint-on‑premise 实例长期未更新或未启用最佳安全模式。

• 备战不充分
  ：多数组织尚未备份密钥或部署行为监控，一旦攻破，清除难度极高。

✅ 最后呼吁

这场 SharePoint “零日”风暴再次证明：在使用企业部署软件的同时，持续补丁管理、行为监控、权限轮换与密钥保护是不可或缺的安全基石
。企业运维、安全团队、应急响应单位应火速对受影响系统排查、更新与采取补救措施。

🔔 本公众号将持续追踪后续补丁进展、最新漏洞检测策略与应急演练经验。欢迎留言交流，共筑企业网络安全保障墙！

END  

阅读推荐

【安全圈】赶快升级！微信Windows端安全漏洞曝光 黑客可执行远程代码

【安全圈】黑客正在利用 Wing FTP 服务器的关键 RCE 漏洞

【安全圈】只需500 美元，远程操控美国火车。

【安全圈】吐鲁番首例“特种设备”系统入侵，未检气瓶竟获虚假合格证！

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！