CVE-2025-53770 零日漏洞

Microsoft SharePoint Server 中的一個嚴重安全漏洞已成為持續大規模網路攻擊活動的焦點。該漏洞編號為 CVE-2025-53770，CVSS 評分為 9.8，被歸類為零日漏洞，與 CVE-2025-49704（CVSS 評分為 8.8）密切相關，後者是一個代碼注入和遠端程式碼執行漏洞，已於微軟 2025 年 7 月星期二更新中修復。該漏洞源於對不受信任資料的反序列化，允許攻擊者在未經適當授權的情況下遠端執行惡意程式碼。

主動攻擊和受影響的系統

研究人員已確認，網路犯罪分子正在積極利用此漏洞攻擊本機 SharePoint Server 實例。值得注意的是，Microsoft 365 中的 SharePoint Online 並未受到影響。攻擊者利用了 SharePoint 在反序列化過程中處理不受信任物件的方式，使其能夠在使用者驗證之前執行命令。一旦進入系統，攻擊者就可以使用竊取的機器密鑰產生偽造的有效載荷，從而實現橫向移動和持續存取。由於他們的活動可以模仿合法的 SharePoint 流量，這使得偵測和緩解措施變得具有挑戰性。

複雜的漏洞利用鏈

有證據表明，CVE-2025-53770 正與其他漏洞（包括 CVE-2025-49706（CVSS 評分為 6.3 的欺騙漏洞）和 CVE-2025-49704）共同構成名為 ToolShell 的高階漏洞利用鏈。攻擊者利用 CVE-2025-49706 來投遞利用 CVE-2025-49704 的遠端程式碼執行載重。據報道，新增「_layouts/SignOut.aspx」作為 HTTP referer 可將 CVE-2025-49706 轉換為 CVE-2025-53770，從而實現更精簡的漏洞利用流程。

這些攻擊通常涉及透過 PowerShell 傳遞的 ASPX 有效載荷，目的是竊取伺服器的 MachineKey 配置（ValidationKey 和 DecryptionKey）。這些金鑰至關重要，因為它們允許攻擊者編寫 SharePoint 會認為有效的惡意 __VIEWSTATE 有效載荷，從而有效地將任何經過身份驗證的請求轉化為遠端程式碼執行的機會。

妥協的尺度

迄今為止，全球已有超過 85 台 SharePoint 伺服器遭到入侵，至少 29 家組織受到影響，其中包括跨國公司和政府機構。一旦攻擊者獲得加密金鑰，修復工作就會變得更加複雜。即使安裝了安全補丁，被盜金鑰仍可能允許攻擊者保持存取權限，除非手動輪換或重新配置這些金鑰。

緩解措施

在官方修補程式發布之前，微軟建議各組織在 SharePoint 中啟用反惡意軟體掃描介面 (AMSI) 整合。對於無法啟動 AMSI 的客戶，強烈建議中斷易受攻擊的 SharePoint 伺服器與網際網路的連線。

根據持續不斷的漏洞利用報告，微軟已發布針對 CVE-2025-53770 和新發現的漏洞 CVE-2025-53771 的補丁，以保護易受攻擊的系統。

CISA的警告

美國網路安全與基礎設施安全局 (CISA) 發布警報，確認 CVE-2025-53770 漏洞正被積極利用。此漏洞允許攻擊者透過網路實現未經身份驗證的遠端程式碼執行，對任何未修補的 SharePoint 環境構成嚴重威脅。