工具链漏洞预警:全球活跃利用中的SharePoint新型零日RCE攻击链
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
Eye Security团队发现了新型Microsoft SharePoint远程代码执行漏洞ToolShell,攻击者可在无认证的情况下控制服务器。该漏洞链涉及CVE-2025-49704和CVE-2025-49706,已导致多台服务器被入侵。微软已发布紧急补丁,建议用户立即更新并检查系统安全。
🎯
关键要点
- Eye Security团队发现了新型Microsoft SharePoint远程代码执行漏洞ToolShell,攻击者可在无认证的情况下控制服务器。
- 漏洞链涉及CVE-2025-49704和CVE-2025-49706,已导致多台服务器被入侵。
- 攻击者利用CVE-2025-49706的SharePoint服务器欺骗漏洞和CVE-2025-49704的RCE漏洞进行攻击。
- 攻击手法基于Pwn2Own上演示的概念验证代码,攻击者可植入ASPX恶意负载而无需登录。
- 恶意文件spinstall0.aspx设计用于窃取加密机器密钥,获取后可实现完全远程代码执行。
- Eye Security扫描了8000余台暴露在公网的SharePoint服务器,发现数十台已遭入侵。
- 微软已发布紧急补丁,建议用户立即更新并检查系统安全,重点检查/ToolPane.aspx和/spinstall0.aspx路径。
- 用户需监控HTTP(S)外联连接和反向Shell活动,确保加密密钥未泄露。
🏷️
标签
➡️
