工具链漏洞预警:全球活跃利用中的SharePoint新型零日RCE攻击链
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
Eye Security团队发现了新型Microsoft SharePoint远程代码执行漏洞ToolShell,攻击者可在无认证的情况下控制服务器。该漏洞链涉及CVE-2025-49704和CVE-2025-49706,已导致多台服务器被入侵。微软已发布紧急补丁,建议用户立即更新并检查系统安全。
🎯
关键要点
- Eye Security团队发现了新型Microsoft SharePoint远程代码执行漏洞ToolShell,攻击者可在无认证的情况下控制服务器。
- 漏洞链涉及CVE-2025-49704和CVE-2025-49706,已导致多台服务器被入侵。
- 攻击者利用CVE-2025-49706的SharePoint服务器欺骗漏洞和CVE-2025-49704的RCE漏洞进行攻击。
- 攻击手法基于Pwn2Own上演示的概念验证代码,攻击者可植入ASPX恶意负载而无需登录。
- 恶意文件spinstall0.aspx设计用于窃取加密机器密钥,获取后可实现完全远程代码执行。
- Eye Security扫描了8000余台暴露在公网的SharePoint服务器,发现数十台已遭入侵。
- 微软已发布紧急补丁,建议用户立即更新并检查系统安全,重点检查/ToolPane.aspx和/spinstall0.aspx路径。
- 用户需监控HTTP(S)外联连接和反向Shell活动,确保加密密钥未泄露。
❓
延伸问答
ToolShell漏洞是什么?
ToolShell是一个新型的Microsoft SharePoint远程代码执行漏洞,攻击者可以在无需认证的情况下控制服务器。
CVE-2025-49704和CVE-2025-49706分别是什么?
CVE-2025-49704是SharePoint RCE漏洞,CVE-2025-49706是SharePoint服务器欺骗漏洞,这两个漏洞被攻击者结合利用。
攻击者是如何利用ToolShell漏洞的?
攻击者利用Pwn2Own上演示的概念验证代码,通过植入ASPX恶意负载来窃取加密机器密钥,实现远程代码执行。
微软对此漏洞采取了什么措施?
微软已发布紧急补丁,建议用户立即更新SharePoint并检查系统安全,特别是检查特定路径。
如何检测我的SharePoint服务器是否受到影响?
可以通过分析响应特征和检查特定路径(如/ToolPane.aspx和/spinstall0.aspx)来识别受影响的系统。
用户在发现漏洞后应该采取哪些安全措施?
用户应安装最新的SharePoint更新,扫描入侵痕迹,并监控HTTP(S)外联连接和反向Shell活动。
🏷️
标签
➡️
