The Cloudflare Blog
·
Cloudflare 保护 SharePoint 关键漏洞 CVE-2025-53770
内容提要
2025年7月19日,微软披露了影响SharePoint的严重远程代码执行漏洞CVE-2025-53770。攻击者可通过不当反序列化执行任意代码,窃取加密密钥并获取持久访问权限。美国网络安全局已将其列入已知利用漏洞目录,建议受影响组织立即采取措施。
关键要点
-
2025年7月19日,微软披露了严重的远程代码执行漏洞CVE-2025-53770,影响SharePoint Server 2016、2019及订阅版,以及不再支持的2010和2013版本。
-
该漏洞的根本原因是对不受信任数据的不当反序列化,允许远程未认证攻击者在没有用户交互的情况下执行任意代码。
-
CVE-2025-53770的攻击链被称为'ToolShell',攻击者不仅获得临时访问权限,还能窃取服务器的加密密钥,获取持久访问权限。
-
美国网络安全和基础设施安全局(CISA)已将CVE-2025-53770列入已知利用漏洞目录,建议受影响组织立即采取措施。
-
ToolShell攻击分为三个阶段:认证绕过、通过反序列化进行远程代码执行、以及窃取加密密钥以维持长期访问。
-
Cloudflare已针对CVE-2025-53770和CVE-2025-53771发布新的WAF管理规则,以应对这些漏洞。
-
现代网络威胁结合了初始攻击向量和长期持久性机制,成功防御需要同时解决即时的RCE漏洞和后续的未授权访问威胁。
延伸解读
漏洞影响范围
CVE-2025-53770影响多个版本的SharePoint,包括2016、2019及其订阅版,甚至不再支持的2010和2013版本。这意味着许多企业和组织可能面临风险,尤其是那些仍在使用旧版SharePoint的机构。
攻击链的复杂性
ToolShell攻击链分为三个阶段,攻击者通过认证绕过、远程代码执行和窃取加密密钥来维持长期访问。这种复杂的攻击方式使得防御措施需要更加全面,不能仅依赖于修补初始漏洞。
应对措施的重要性
美国网络安全局已将此漏洞列入已知利用漏洞目录,建议受影响组织立即采取措施。这强调了及时更新和加强网络安全防护的重要性,以防止潜在的长期损害。
延伸问答
CVE-2025-53770是什么漏洞?
CVE-2025-53770是影响SharePoint的严重远程代码执行漏洞,允许攻击者通过不当反序列化执行任意代码。
CVE-2025-53770的攻击链是怎样的?
CVE-2025-53770的攻击链被称为'ToolShell',分为认证绕过、远程代码执行和窃取加密密钥三个阶段。
为什么CVE-2025-53770被认为特别危险?
该漏洞允许攻击者不仅获得临时访问权限,还能窃取服务器的加密密钥,获取持久访问权限。
美国网络安全局对CVE-2025-53770有什么建议?
美国网络安全局建议受影响的组织立即采取措施,认为任何在互联网上运行SharePoint的组织都可能已被攻破。
Cloudflare如何应对CVE-2025-53770?
Cloudflare已发布新的WAF管理规则,以应对CVE-2025-53770和CVE-2025-53771的漏洞。
ToolShell攻击的三个阶段具体是什么?
ToolShell攻击的三个阶段是:认证绕过、通过反序列化进行远程代码执行、窃取加密密钥以维持长期访问。
