Microsoft SharePoint远程代码执行漏洞(CVE-2025-53770)分析报告
💡
原文中文,约15300字,阅读约需37分钟。
📝
内容提要
CVE-2025-53770是一个严重的SharePoint远程代码执行漏洞,攻击者可通过Referer头绕过身份验证,利用反序列化漏洞进行控制。该漏洞影响约235,000个实例,CVSS评分为9.8,需立即部署补丁以防止利用。
🎯
关键要点
- CVE-2025-53770是一个严重的SharePoint远程代码执行漏洞,攻击者可通过Referer头绕过身份验证。
- 该漏洞影响约235,000个实例,CVSS评分为9.8,需立即部署补丁以防止利用。
- 攻击者利用反序列化漏洞控制目标服务器,已被APT组织和勒索软件团伙积极利用。
- 漏洞链条包括身份验证绕过、文件读取/反序列化和持久化与提权三个步骤。
- SharePoint的认证逻辑存在缺陷,攻击者可通过特定Referer绕过认证。
- 反序列化漏洞允许攻击者利用ExcelDataSet控件的CompressedDataTable属性触发反序列化。
- 攻击者可部署webshell并窃取MachineKey,实现稳定的远程代码执行。
- 全球范围内的受影响实例包括美国、中国、英国等多个国家。
- 建议立即部署官方补丁、轮换MachineKey并启用AMSI以增强安全性。
- 应急响应措施包括隔离受感染服务器、删除webshell和重置管理员密码。
🏷️
标签
➡️
