近日,微软紧急发布了针对本地部署SharePoint服务器的安全补丁,旨在修复一个严重的远程代码执行(RCE)漏洞。此漏洞被标识为CVE-2025-53770,得分高达9.8(CVSS),表明其安全风险极高。该漏洞因反序列化未经验证数据的问题而产生,攻击者可以利用此缺陷远程执行任意代码,对受影响的组织和企业构成严重威胁。 微软在7月20日发布的安全公告中披露了这个RCE漏洞的存在,并同时指出另一个与之相关的欺骗漏洞(CVE-2025-53771,CVSS评分7.1)也已被修复。前者漏洞已导致黑客对本地部署的SharePoint服务器发起主动攻击,影响波及全球范围内的银行、大学、政府机构等关键领域。该漏洞的活跃利用从7月中旬开始,眼见严峻,微软迅速行动,推出针对多个版本SharePoint服务器的安全更新。
这两项漏洞均只影响本地部署的SharePoint版本,包括SharePoint Server 2016、2019及Subscription Edition等,与云端SharePoint Online无关。漏洞利用链被命名为“ToolShell”,能通过组合之前已知的漏洞(CVE-2025-49704和CVE-2025-49706)实现远程代码执行,这也说明了攻击者具备高度的技术整合能力。 微软强调,此次更新不仅修复了漏洞,还加强了保护措施,相较于之前的补丁具备更强的防护能力。此外,针对两项漏洞所采取的安全升级措施也保证了客户能更全面地防范多阶段攻击,减少潜在风险。微软内部人士提出,虽然存在公告内容上的细微差异,但整体指导思想未受影响。 安全研究机构Viettel Cyber Security及匿名研究员均协助微软发现并上报了此次欺骗漏洞,这也显示了全球安全社区在漏洞挖掘与响应能力上的协作。
此外,Palo Alto Networks旗下Unit 42发布分析报告称,攻击者能够绕过多因素身份验证(MFA)以及单点登录(SSO)机制,获得高权限访问权,并在内部网络制造持续后门,偷窃敏感数据和加密密钥。 有专家提醒,因SharePoint的深度集成特性,其安全问题很容易波及微软生态系统中的Office、Teams、OneDrive以及Outlook等服务,一旦SharePoint被攻陷,攻击者将能轻易横向移动到整个企业网络,造成更大范围的安全隐患。安全公司Eye Security指出,截至目前已有至少54家包括政府、教育及金融机构的组织确认遭受入侵。 面对漏洞威胁,微软和安全机构建议用户务必第一时间应用最新安全更新,同时开启反恶意软件扫描接口(AMSI)并启用全模式(Full Mode)以达到最佳防护效果。恢复安全还包括更换SharePoint服务器的ASP.NET机器密钥,并重启服务器信息服务(IIS),确保存量威胁彻底清除。 美国网络安全和基础设施安全局(CISA)已将CVE-2025-53770列入“已知被利用漏洞(KEV)”库,要求所有联邦机构必须在截止日期前完成补丁安装。
这彰显漏洞威胁的严重程度和政策上的高度重视,也为其他企业机构提供强化网络防护的示范。 除了技术层面的补丁修复,安全专家强调,单纯打补丁并不足以完全杜绝威胁。建议受影响组织进行全面安全评估和事件响应流程,及时识别潜在入侵、修复安全漏洞并提升整体安全态势管理能力。尤其是将涉事服务器从公网环境中隔离,至少在补丁完全部署前关闭外部访问,是保障安全的临时有效措施。 此次事件也引发了业界对于本地部署系统安全性的重新审视。相比云服务,传统本地部署存在的管理复杂度和更新滞后问题更容易被攻击者盯上。
企业需加强资产发现、脆弱性管理及安全监控,确保防护层不被攻破。此外,通过集成现代化安全工具,如微软Defender for Endpoint,提升威胁检测和响应能力,成为必不可少的防御措施。 伴随着网络攻击手法日趋复杂,企业信息安全管理的重要性再次得到凸显。对微软SharePoint服务器的这次安全事件提醒各行业及组织,网络安全不是单点更新能够解决问题的,必须构筑多层次、全方位的防护体系,同时培养安全意识和应急处置能力,以实现数字业务的可持续安全发展。 总之,微软发布的安全补丁是防范近期针对SharePoint服务器持续攻击的关键保障。所有使用本地部署SharePoint服务器的组织,应当高度重视漏洞风险,尽快落实补丁安装、开启AMSI、切换机器密钥等安全措施,及时进行安全事件排查和响应。
只有这样才能有效遏制正在蔓延的攻击趋势,维护业务系统的稳定运行与信息资产安全。未来,面对不断演进的网络威胁,持续更新安全策略和技术手段,将成为企业数字化转型及运营发展的核心竞争力。
