微软近日正式确认,针对面向互联网的SharePoint服务器实例所存在的安全漏洞,三支中国黑客组织正展开大规模且持续的利用活动。这些组织分别是被称为Linen Typhoon、Violet Typhoon以及Storm-2603的黑客集团,持续通过精心设计的攻击链条,企图渗透目标网络、窃取敏感信息并实现更广泛的控制。作为微软重要的企业协作平台,SharePoint因其广泛应用和复杂架构,成为黑客攻击的高价值目标。由于部分SharePoint服务器尚未安装最新安全补丁,攻击者趁虚而入,借助尚未完全修复的两个关键漏洞CVE-2025-49706(身份伪造漏洞)和CVE-2025-49704(远程代码执行漏洞)实现绕过认证,执行任意代码的能力。 这两项漏洞的补丁尚未彻底阻断攻击,攻击者利用绕过补丁的缺陷,赋予新的绕过漏洞CVE-2025-53771和CVE-2025-53770,并通过向SharePoint服务器ToolPane端点发送特制POST请求,完成认证绕过后,执行恶意代码并植入后门。微软观察到攻击者部署的Web Shell“spinstall0.aspx”及其变体(包括spinstall.aspx、spinstall1.aspx和spinstall2.aspx),该恶意后门允许攻击者远程获取和窃取服务器的MachineKey数据,进而对后续攻击进行加密通信和身份伪装,为更深层次的网络渗透铺平道路。
其中,Linen Typhoon(别名APT27、Bronze Union等)自2012年以来一直活跃,擅长使用SysUpdate、HyperBro和PlugX等恶意软件,针对多个领域展开间谍活动和网络攻击。Violet Typhoon(别名APT31、Bronze Vinewood等)自2015年活跃,曾发起针对美国、芬兰及捷克等国家的网络攻击。第三集团Storm-2603因过去部署过Warlock和LockBit勒索软件而闻名,其攻击行为更具破坏性,针对目标组织的关键基础设施实施勒索活动。 网络安全研究者针对此次攻防对抗中所涉及的SharePoint攻击链做了深入分析。根据Rakesh Krishnan的调查报告,攻击过程中出现了三个独特的微软Edge浏览器调用实例,分别是Network Utility Process、Crashpad Handler和GPU Process,攻击者借助这些组件的独特功能,实现行为伪装和沙箱逃逸,避免安全防护检测。恶意Web Shell还利用了谷歌的客户端更新协议(Client Update Protocol),巧妙将恶意流量伪装成正常的软件更新请求,进一步规避传统安全设备的检查。
针对当前安全形势,微软强烈建议所有组织立即应用面向SharePoint Server Subscription Edition、SharePoint Server 2019以及SharePoint Server 2016的最新安全补丁。同时,建议尽快对SharePoint服务器的ASP.NET机器密钥进行轮换,重启Internet信息服务(IIS),并部署微软Defender for Endpoint或等效的端点检测响应解决方案。通过这些步骤,可以显著提升系统的安全水平,最大程度抵御上述漏洞的攻击风险。 此外,企业应整合和启用防恶意软件扫描接口(Antimalware Scan Interface,AMSI)以及微软Defender Antivirus或同类杀毒防护产品,并配置AMSI以开启完整模式,确保对入站的攻击行为进行实时监测和阻断。由于此次攻击还涉及伪装和逃避机制,依赖合适的终端防护体系尤为重要。微软还指出,未来可能会有更多威胁者利用同类漏洞攻击未及时修补的本地SharePoint系统。
因此,主动防护和及时更新尤为关键。 这种高级别的持续威胁不仅反映出中国境内的黑客组织技术实力和作战策略的成熟,也揭示了SharePoint及企业协作平台的安全隐患。微软此前多次遇到来自中国黑客的攻击,2021年就曾披露名为Silk Typhoon(又称Hafnium)的黑客组织通过Exchange Server零日漏洞发起大规模攻击。今年早些时候,一名中国国籍黑客因使用Microsoft Exchange Server漏洞发动针对美国政府和企业的攻击,在意大利被捕,显示这类网络攻击的国际影响力和执法力度不断增强。 SharePoint作为微软企业协作的重要基石,其安全性直接关系到数以万计的企业用户数据安全与业务连续性。治理此类威胁,需要企业和安全团队密切配合,密切关注漏洞情报动态,及时执行漏洞管理和安全加固策略。
加强对SharePoint服务器的访问权限管理,限制管理账户权限,并定期进行安全审计,能够有效降低潜在风险。 除了技术防护之外,提升员工的安全意识和针对钓鱼邮件、社交工程攻击的培训也不可或缺。毕竟攻击链条最薄弱环节常常在人为因素。微软以及安全厂商普遍建议应用多层防御策略,结合行为检测、异常流量识别和威胁情报共享,共同构建坚固的防线。 此次事件提醒行业内外,现代复杂网络环境下,任何未及时修补的安全漏洞都可能成为黑客的入侵入口。特别是企业级重要资产如SharePoint服务器,承担着机密数据存储和业务流程管理职能,其安全防护的隐蔽性和实时性必须同步提升。
微软通过持续情报共享和安全更新,力求降低全球用户面临的风险。同时,全球的网络安全社区应加强协作,提升对威胁情报的响应速度和准确性,确保网络空间的稳定与信任。 总之,面对频繁而狡猾的中国黑客组织新一轮攻击,企业亟需采取全面和深入的防御措施,不断完善IT基础设施安全配置,对SharePoint服务器实施严密防护。只有这样,才能有效阻断漏洞利用,保障用户数据安全,维护企业业务的稳健运行。
