Microsoft SharePoint远程代码执行漏洞(CVE-2025-53770)分析报告
💡
原文中文,约15300字,阅读约需37分钟。
📝
内容提要
CVE-2025-53770是一个严重的SharePoint远程代码执行漏洞,攻击者可通过Referer头绕过身份验证,利用反序列化漏洞进行控制。该漏洞影响约235,000个实例,CVSS评分为9.8,需立即部署补丁以防止利用。
🎯
关键要点
- CVE-2025-53770是一个严重的SharePoint远程代码执行漏洞,攻击者可通过Referer头绕过身份验证。
- 该漏洞影响约235,000个实例,CVSS评分为9.8,需立即部署补丁以防止利用。
- 攻击者利用反序列化漏洞控制目标服务器,已被APT组织和勒索软件团伙积极利用。
- 漏洞链条包括身份验证绕过、文件读取/反序列化和持久化与提权三个步骤。
- SharePoint的认证逻辑存在缺陷,攻击者可通过特定Referer绕过认证。
- 反序列化漏洞允许攻击者利用ExcelDataSet控件的CompressedDataTable属性触发反序列化。
- 攻击者可部署webshell并窃取MachineKey,实现稳定的远程代码执行。
- 全球范围内的受影响实例包括美国、中国、英国等多个国家。
- 建议立即部署官方补丁、轮换MachineKey并启用AMSI以增强安全性。
- 应急响应措施包括隔离受感染服务器、删除webshell和重置管理员密码。
❓
延伸问答
CVE-2025-53770漏洞的主要影响是什么?
该漏洞影响约235,000个SharePoint实例,攻击者可通过身份验证绕过实现远程代码执行,CVSS评分为9.8。
攻击者是如何利用CVE-2025-53770漏洞的?
攻击者通过Referer头绕过身份验证,利用反序列化漏洞控制目标服务器,最终部署webshell实现远程代码执行。
如何防止CVE-2025-53770漏洞的利用?
建议立即部署官方补丁、轮换MachineKey并启用AMSI以增强安全性。
CVE-2025-53770漏洞的修复时间线是什么?
首次野外利用发生在2025年7月18日,Microsoft于7月19日发布了漏洞的补丁。
CVE-2025-53770漏洞的攻击复杂度如何?
该漏洞的攻击复杂度为低,攻击者无需任何身份验证即可利用。
CVE-2025-53770漏洞的认证绕过是如何实现的?
攻击者通过特定的Referer头绕过SharePoint的认证逻辑,访问受限页面。
🏷️
标签
➡️
