近年来,随着数字化转型进程加快,企业对于SharePoint服务器的依赖愈加显著。这一平台不仅承载着大量的协作文件和数据,同时也成为了攻击者眼中的目标。微软近期发布的安全分析报告指出,一些针对本地部署(on-premises)的SharePoint服务器的黑客团伙,已经开始在成功入侵后部署勒索软件,进一步扩大了攻击的破坏性和影响范围。微软在报告中尤其强调了几项关键漏洞,包括CVE-2025-49706和CVE-2025-49704,这些漏洞允许未经身份验证的攻击者绕过认证机制,从而在服务器上执行远程代码。令安全界高度关注的是,部分攻击者不仅利用这些漏洞完成初始入侵,还搭建了功能强大的网络后门——webshell,以便长期维持控制权,并通过窃取服务器关键参数如MachineKey来盗取凭据和敏感信息。根据微软威胁情报团队的观察,这些攻击活动与多个中国背景的网络威胁团伙相关,其中分别被称为Linen Typhoon、Violet Typhoon以及Storm-2603。
值得注意的是,Storm-2603威胁团伙明显升级了其攻击目标,从单纯的信息窃取转为部署勒索软件,具体如Warlock勒索软件。据悉,攻击从利用SharePoint漏洞入手,通过特制恶意网页脚本文件(如“spinstall0.aspx”系列),成功植入webshell获取权限。随后,攻击者启动权限提升、凭据窃取、横向移动等一系列复杂操作,最终释放勒索软件以达到敲诈目的。微软建议所有运行SharePoint Server(2016、2019及订阅版)产品的企业用户,立即下载并安装微软发布的相关安全补丁,这些补丁有效覆盖了上述提及的漏洞。此外,微软特别强调启用防恶意软件扫描接口(Antimalware Scan Interface,AMSI)并部署Microsoft Defender Antivirus或同等级别防护工具,以阻止未经身份认证的攻击。启用AMSI的全功能模式对于阻断这类漏洞利用攻击尤为关键。
对于无法立即断开互联网连接的服务器环境,微软建议采用VPN、认证代理或类似的访问控制措施,限制未经授权的流量访问。并且,在修复漏洞后,应执行ASP.NET机器密钥的轮换操作,结合重启Internet Information Services(IIS),确保之前窃取或基于旧密钥建立的webshell失效。除了常规防护措施,微软推荐部署Microsoft Defender for Endpoint等端点检测响应(EDR)方案,以便在攻击发生后及时发现异常行为和阻断攻击链。此类工具具备云端威胁智能和机器学习能力,能够实时监测core凭据提取、服务管理器滥用和横向攻击等攻击特征。针对勒索软件防范,微软也提供了多维度策略,涵盖用户凭据安全管理、攻击面减小、受控文件夹访问等。针对SharePoint服务器的此次风险事件表明,传统基础设施在现代威胁环境中仍面临严峻安全考验。
越来越多的攻击者融合漏洞利用与勒索软件,形成了危害更广、破坏力更强的网络攻击链条。企业安全团队必须优先识别并修补关键应用服务器漏洞,同时加强侦测响应能力。微软安全响应中心还提供了一系列指标和安全事件查询工具,帮助安全分析师在自有环境中发现潜在攻击痕迹。例如,文件名包含“spinstall”的脚本和特定的DLL后门文件是重要的检测信号。此外,针对恶意命令控制通信的特定网络域名和IP,亦可通过安全日志定期审计。总的来说,当部署了相关更新和开启先进防病毒防护后,企业可以大幅降低被这类入侵及勒索攻击影响的风险。
补丁未及时应用仍是攻击成功的主要原因之一,因此保持系统及时更新是防御的第一道防线。正确配置AMSI,强化对IIS的监控和日志分析,以及采用主动威胁狩猎技术,能帮助企业在攻击初期快速反应并阻断攻击。微软持续跟踪分析此次SharePoint漏洞利用事件的攻击态势,并计划在未来版本中优化防护工具与检测机制。结合人工智能驱动的安全解决方案,企业能更有效应对孳生的复杂威胁。对于所有依赖SharePoint的组织来说,安全防护的强化不仅关系到核心数据和服务的可用性,也涉及企业声誉和合规风险。借助微软提供的安全工具集、指标报告以及事件响应指南,企业能提升整体防御水平,防止威胁团伙利用漏洞对业务造成毁灭性打击。
综上所述,当前针对SharePoint服务器的攻击实践显示,漏洞利用正演变为与勒索软件部署紧密结合的综合威胁环境。企业安全架构需要同步升级,补丁管理与实时威胁检测必不可少。遵循微软安全建议,结合现代安全技术,实现对关键资产的全方位保护,是保障业务连续性和抵御未来攻击的核心所在。
