Microsoft 紧急修补 SharePoint 远程代码执行漏洞，应对持续网络攻击

微软紧急修复SharePoint高危漏洞并提供安全建议

周日，微软发布了一个关键补丁，用于修复SharePoint中正在被恶意利用的安全漏洞，同时公布了另一个已通过"增强防护措施"修复的漏洞细节。

这家科技巨头确认，目前已发现攻击者正针对本地部署的SharePoint Server用户发起攻击，利用的是7月安全更新中未完全修复的漏洞。

漏洞详情

当前被利用的漏洞编号为CVE-2025-53770（CVSS评分9.8），属于高危远程代码执行漏洞。该漏洞源于本地部署的Microsoft SharePoint Server在处理不可信数据时存在反序列化缺陷。

同时披露的另一个漏洞是SharePoint欺骗漏洞（CVE-2025-53771，CVSS评分6.3）。一位匿名安全研究员因发现并报告该漏洞获得了微软官方致谢。

微软在2025年7月20日的安全公告中指出："Microsoft Office SharePoint存在路径遍历漏洞，由于对受限目录的路径名限制不当，导致授权攻击者可通过网络实施欺骗攻击。"

漏洞关联与修复进展

微软表示，CVE-2025-53770和CVE-2025-53771与另外两个SharePoint漏洞（CVE-2025-49704、CVE-2025-49706）存在关联，这些漏洞可被串联利用形成远程代码执行攻击链。这个名为ToolShell的攻击链已在2025年7月的"补丁星期二"更新中修复。

微软特别说明：

• 针对CVE-2025-53770的更新比CVE-2025-49704的修复措施更完善
• CVE-2025-53771的更新也比CVE-2025-49706的防护能力更强

此前微软曾将CVE-2025-53770归类为CVE-2025-49706的变体漏洞。对此，微软发言人向《黑客新闻》解释："公司优先保障更新推送，同时会及时纠正内容不准确之处。"微软强调当前发布的信息准确无误，表述差异不影响对客户的安全指导。

受影响版本与修复状态

这两个漏洞仅影响本地部署的SharePoint服务器，不涉及Microsoft 365中的SharePoint Online。已完成修复的版本包括：

• Microsoft SharePoint Server 2019（16.0.10417.20027）
• Microsoft SharePoint Enterprise Server 2016（16.0.5508.1000）
• Microsoft SharePoint Server Subscription Edition
• Microsoft SharePoint Server 2019 Core
• Microsoft SharePoint Server 2016（待确认）

安全防护建议

为防范潜在攻击，微软建议用户采取以下措施：

1. 使用受支持的本地SharePoint版本（SharePoint Server 2016、2019及Subscription Edition）
2. 立即安装最新安全更新
3. 开启反恶意软件扫描接口（AMSI）并启用全模式防护，同时配置Defender Antivirus等杀毒软件
4. 部署Microsoft Defender for Endpoint或同类威胁防护解决方案
5. 轮换SharePoint Server的ASP.NET机器密钥

微软特别提醒："安装上述安全更新或启用AMSI后，必须轮换SharePoint服务器的ASP.NET机器密钥，并重启所有SharePoint服务器的IIS服务。若无法启用AMSI，安装更新后也需立即轮换密钥。"

攻击态势与行业响应

据Eye Security向《黑客新闻》透露，已有至少54家机构遭受攻击，涉及银行、高校及政府部门。该公司称攻击活动始于7月18日左右。

美国网络安全和基础设施安全局（CISA）已将CVE-2025-53770纳入已知被利用漏洞目录，要求联邦民用行政机构在2025年7月21日前完成修复。

帕洛阿尔托网络公司（Palo Alto Networks）旗下Unit 42团队也在追踪这起"高影响、持续性威胁事件"，指出政府、教育机构、医疗机构（含医院）及大型企业面临直接风险。

威胁分析

帕洛阿尔托网络公司Unit 42首席技术官兼威胁情报负责人Michael Sikorski表示：

"攻击者正绕过MFA和SSO等身份验证机制获取特权访问权限，入侵后会窃取敏感数据、植入持久化后门并盗取加密密钥，目前已通过该漏洞建立攻击据点。"

"本地SharePoint服务器若暴露在公网环境，应假定已遭入侵。仅靠补丁无法彻底清除威胁。更危险的是SharePoint与微软生态的深度整合，Office、Teams、OneDrive和Outlook等服务存储的敏感信息都会成为攻击目标，一次入侵可能导致整个网络沦陷。"

该安全厂商将此次事件列为高严重度、高紧急度威胁，敦促本地SharePoint用户立即安装补丁、轮换加密凭证并启动事件响应流程。

Sikorski补充道："临时应急方案可先断开SharePoint服务器的公网连接直至补丁部署完成。错误的安全认知可能导致威胁持续扩散。"

参考链接【Microsoft 紧急修补 SharePoint 远程代码执行漏洞，应对持续网络攻击】