在数字化时代,微软SharePoint作为企业内容管理和协同办公的重要平台,广泛应用于全球大量组织。然而,2025年7月曝出的一则消息震惊了网络安全界:SharePoint服务器存在一个尚未被彻底修补的关键零日漏洞(CVE-2025-53770),该漏洞的风险分值高达9.8,属于极度严重的安全缺陷。更令人担忧的是,这一漏洞已经被黑客积极利用,导致全球范围内超过75台企业服务器遭到入侵,受害组织覆盖多家跨国企业和政府机构。 该漏洞源于SharePoint服务器中反序列化不受信任数据的机制缺陷,攻击者能够绕过身份认证,在网络环境下远程执行任意代码。微软在7月19日发布官方通告提醒用户,利用此漏洞的攻击者不仅能够入侵服务器,还能窃取服务器的MachineKey配置——包括关键的ValidationKey和DecryptionKey。这使得攻击者能够伪造受信任的有效请求,从而维持长期的持久访问权限,并在受害网络中横向移动,难以被常规安全监测手段发现。
恶意行为主要通过向“/_layouts/15/ToolPane.aspx”端点发送精心构造的POST请求实现。这些请求伪造Referer头,模仿合法身份绕过认证,从而加载ASPX恶意载荷,进而执行PowerShell脚本窃取关键秘钥。攻击链中还结合了此前披露的漏洞CVE-2025-49704和CVE-2025-49706,这些漏洞共同协作,形成一个名为“ToolShell”的多阶段攻击链。 由于存在先天的设计缺陷,攻击者能够在尚未认证的情况下执行任意命令,而一旦掌控服务器内的MachineKey密钥,则能伪造__VIEWSTATE有效负载。__VIEWSTATE是ASP.NET核心的状态管理机制,攻击者借此进行远程代码执行攻击得以伪装成合法访问,从而极大地增加了事件的隐蔽性和持续性。 微软已经发布针对CVE-2025-53770及相关新发现漏洞CVE-2025-53771的安全补丁,强化了系统防御能力。
然而补丁发布之前,微软强烈建议用户启用Antimalware Scan Interface(AMSI)集成,并在SharePoint服务器上部署Defender防病毒软件,作为临时保护措施。AMSI集成在2023年9月的更新中已默认激活于SharePoint Server 2016/2019及SharePoint Server Subscription Edition的新版本中。此外,断开有风险的服务器与互联网连接,部署终端防护方案检测和阻断杀伤链中的后续攻击行为同样至关重要。 安全研究人员警告,此次漏洞的利用正在迅速蔓延,攻击者能够高速地在受影响的企业网络中横向扩散。由于恶意代码的隐蔽性和利用的深度,普通的检测工具难以有效发现和阻止攻击,攻击行为往往持续数日甚至更长时间,给企业安全防护带来巨大挑战。 此次事件凸显出企业数字安全防护中的一个关键难题——在漏洞未修补之时如何有效防护。
传统依赖漏洞补丁的防御模式在面对零日攻击时显得力不从心。微软建议的AMSI集成和Defender部署提供了一定程度的缓解,但企业还需综合采用行为分析、异常监测和威胁情报共享等先进手段提升整体安全态势。 此外,CISA(美国网络安全和基础设施安全局)主动介入协调,呼吁受影响企业尽快采取微软及安全机构推荐的防护措施。CISA与技术厂商和安全社区的紧密合作,为应对此类紧急威胁提供了良好范例,也展现了国家层面对网络空间安全的高度重视。 企业在应对该漏洞时,需从多角度强化安全管理:完善日志和事件监控,及时发现异常访问行为及可疑请求;严格控制关键系统的访问权限,应用最小权限原则;加强安全意识培训,提升员工对钓鱼邮件、社会工程手段等二次攻击的防范能力;定期审计和更新服务器设置,快速部署官方补丁以堵塞安全缺口。 可以预见,随着数字化进程加快,企业关键软件平台的安全保障愈发重要。
此次SharePoint零日漏洞事件不仅警醒广大组织需高度重视软件供应链安全,也推动相关厂商加强安全设计和漏洞响应速度。仅依赖补丁发布已经不能完全应对日益复杂多变的威胁环境,多层次、多维度的安全策略和现代化技术应用将成为未来防御的重中之重。 在未来,企业应积极跟踪并参与安全生态建设,合理引入威胁情报自动化处理、人工智能辅助威胁检测与响应等创新技术,全面提升自适应防御能力。同时,建立与安全厂商、研究机构及政府部门的合作机制,实现快速动态信息共享和协同处置,将有效压缩攻击者的生存时间,降低安全事件对业务运营的负面影响。 此次SharePoint漏洞事件的发生虽属不幸,但也是对全球信息安全管理水平的一次重要考验。只有通过全方位的风险管控、持续的安全改进和行业的深度协作,才能更好地守护数字化时代的企业资产与核心数据安全,筑牢信息安全防线。
。
