CVE-2025-53770 零日漏洞

Microsoft SharePoint Server 中的一个严重安全漏洞已成为持续大规模网络攻击活动的焦点。该漏洞编号为 CVE-2025-53770，CVSS 评分为 9.8，被归类为零日漏洞，与 CVE-2025-49704（CVSS 评分为 8.8）密切相关，后者是一个代码注入和远程代码执行漏洞，已于微软 2025 年 7 月补丁星期二更新中修复。该漏洞源于对不受信任数据的反序列化，允许攻击者在未经适当授权的情况下远程执行恶意代码。

主动攻击和受影响的系统

研究人员已确认，网络犯罪分子正在积极利用此漏洞攻击本地 SharePoint Server 实例。值得注意的是，Microsoft 365 中的 SharePoint Online 并未受到影响。攻击者利用了 SharePoint 在反序列化过程中处理不受信任对象的方式，使其能够在用户身份验证之前执行命令。一旦进入系统，攻击者就可以使用窃取的机器密钥生成伪造的有效载荷，从而实现横向移动和持续访问。由于他们的活动可以模仿合法的 SharePoint 流量，这使得检测和缓解措施变得具有挑战性。

复杂的漏洞利用链

有证据表明，CVE-2025-53770 正与其他漏洞（包括 CVE-2025-49706（CVSS 评分为 6.3 的欺骗漏洞）和 CVE-2025-49704）共同构成名为 ToolShell 的高级漏洞利用链。攻击者利用 CVE-2025-49706 来投递利用 CVE-2025-49704 的远程代码执行载荷。据报道，添加“_layouts/SignOut.aspx”作为 HTTP referer 可将 CVE-2025-49706 转换为 CVE-2025-53770，从而实现更精简的漏洞利用流程。

这些攻击通常涉及通过 PowerShell 传递的 ASPX 有效载荷，目的是窃取服务器的 MachineKey 配置（ValidationKey 和 DecryptionKey）。这些密钥至关重要，因为它们允许攻击者编写 SharePoint 会认为有效的恶意 __VIEWSTATE 有效载荷，从而有效地将任何经过身份验证的请求转化为远程代码执行的机会。

妥协的尺度

迄今为止，全球已有超过 85 台 SharePoint 服务器遭到入侵，至少 29 家组织受到影响，其中包括跨国公司和政府机构。一旦攻击者获得加密密钥，修复工作就会变得更加复杂。即使安装了安全补丁，被盗密钥仍可能允许攻击者保持访问权限，除非手动轮换或重新配置这些密钥。

缓解措施

在官方补丁发布之前，微软建议各组织在 SharePoint 中启用反恶意软件扫描接口 (AMSI) 集成。对于无法激活 AMSI 的客户，强烈建议断开易受攻击的 SharePoint 服务器与互联网的连接。

根据持续不断的漏洞利用报告，微软已发布针对 CVE-2025-53770 和新发现的漏洞 CVE-2025-53771 的补丁，以保护易受攻击的系统。

CISA的警告

美国网络安全和基础设施安全局 (CISA) 发布警报，确认 CVE-2025-53770 漏洞正被积极利用。此漏洞允许攻击者通过网络实现未经身份验证的远程代码执行，对任何未修补的 SharePoint 环境构成严重威胁。