微软SharePoint作为全球广泛使用的协作和文档管理平台,其安全性一直备受关注。然而,2025年中旬,微软曝出的一系列漏洞及其引发的大规模攻击事件,再次证明即使是行业巨头的安全防护也存在不可忽视的漏洞。近期安全研究人员强调,一场关键的数据泄露正是导致攻击迅速扩散并绕过补丁保护的核心因素。本文将深入剖析此次事件的起因、发展及其对企业安全生态的深远影响。五月份在全球知名的黑客竞赛Pwn2Own现场,一位越南安全研究员成功利用SharePoint的身份验证绕过和不安全反序列化漏洞,实现了远程代码执行,获得百万级奖金。此举原本意在通过负责任的漏洞披露机制,促使微软及时修补缺陷。
而按照常规流程,微软接收漏洞白皮书后,应在90天内发布补丁。然而,事情并不如预期顺利。微软于7月8日正式发布针对这两个关键漏洞(CVE-2025-49704和CVE-2025-49706)的安全更新,然而,令安全圈震惊的是,大规模的攻击活动实际上早在7月7日就已悄然展开,这表明攻击者竟然在正式补丁发布之前已掌握了漏洞利用手段。趋势科技零日倡议负责人Dustin Childs指出,其中关键缘由就是“泄露”事件的发生。微软的提前漏洞信息,主要通过其微软主动防护计划(MAPP)秘密共享给部分安全厂商,并签署保密协议。这本是加快防护更新的一种积极措施。
然而这些机密数据疑似被非法泄露,导致黑客能够提前分析并调整攻击策略。漏洞利用不仅能绕过微软提供的初始补丁,还成功实现未授权的远程代码执行。分析显示,补丁修正存在狭窄的范围,攻击者很快找到绕过方法,令补丁失效,进而造成大范围的系统感染。负责追踪攻击行为的安全公司检测到,参与攻击的黑客团体包含中国国家支持的“亚麻台风”和“紫台风”两个黑客组织,以及代号为Storm-2603的勒索软件团伙。他们利用漏洞链快速入侵400多个组织,窃取重要信息,甚至部署勒索软件进行敲诈,造成重大全球影响。微软方面虽然发布声明表示正在审核事件并寻求改进,但针对泄露源头和修补延迟的问题则聚焦有限。
安全专家则猜测,微软或是因过于信任MAPP渠道,导致此次信息外泄,同时今年晚些时候没有再通过MAPP渠道发布漏洞信息,可能是基于对合作伙伴信任度下降的反映。有趣的是,部分研究人员暗示攻击者或借助如Google Gemini等先进大语言模型辅助分析漏洞,说明未来网络攻击技术智能化趋势日益明显。此次事件也凸显了整个漏洞披露和补丁发布流程中的风险。即使所谓的协调披露机制能够让制造补丁时间窗口保持合理,但只要有任一环节泄露,就可能造成安全灾难。受影响的企业和组织应当从这次攻击中汲取教训,加强内部安全监控和应急响应速度。同时,选择使用云端SharePoint服务的用户,也应关注相关安全更新和身份验证机制提升。
此外,企业安全团队需重视对提前漏洞信息的管理流程,避免敏感数据扩散。微软在事件之后加速对受影响版本的多轮补丁修复,但补丁已发布时,攻击浪潮已造成巨大影响,损失难以估量。此次事件对微软声誉造成损害的同时,也提醒全球网络安全体系面对复杂的威胁环境,需要更加完善的端到端安全策略,以及更严格的信息共享和控制机制。综合来看,此次微软SharePoint攻击事件不仅反映了软件漏洞本身的严重性,更暴露出漏洞信息泄露及漏洞修补协调机制中的关键隐患。面对越来越多国家支持的黑客组织和复杂的网络犯罪团伙,企业不仅要依赖厂商发布的安全更新,更要主动构筑多层次防御体系,提升安全意识和技术投入。未来,随着人工智能技术在安全领域的广泛应用,如何防止其被恶意利用,将成为新的挑战。
微软及整个信息技术行业都需从此次事件中汲取深刻教训,进一步强化对核心基础设施的保护措施,保障数字化转型进程的安全稳定。
![Interview with Cloud Architect in 2025 [video]](/images/E83092BB-960C-49B8-BCA7-1E64411BD516)
