主要观点：过去四天，因微软广泛使用的文档共享应用 SharePoint 的关键漏洞被大规模利用，政府机构和私营企业遭受攻击。人们将此活动称为 ToolShell，以下是关于该漏洞及持续利用的常见问题解答。
关键信息：

• SharePoint 是用于内部文档存储、管理、共享和协作的服务器软件，2001 年开始销售，2020 年有 2 亿用户，40 多万客户组织使用，约 80%为财富 500 强公司。
• 漏洞 CVE-2025-53770 可在运行 SharePoint 的服务器上实现未经身份验证的远程代码执行，严重等级为 9.8，周六被发现已在全球范围内造成数十个系统受损，周三估计达 400 个系统，包括美国国家核安全管理局网络，微软称 7 月 7 日已开始被利用，仅影响内部运行的 SharePoint 系统，不影响云服务。
• 微软观察到三个与中国政府有关的攻击群体在利用该漏洞，分别是 Linen Typhoon、Violet Typhoon 和 Storm-2603，不排除其他群体利用的可能。
• ToolShell 是 5 月 Pwn2Own 黑客竞赛中使用的漏洞名称，由 Khoa of Viettel Cyber Security 的研究员 Dinh Ho Anh 命名，微软两周前已修复相关漏洞，但周末发现补丁不完整导致新攻击。
• 攻击者利用新的 ToolShell 漏洞，先用 webshell 后门感染易受攻击的系统，获取敏感数据和管理权限，部署后门以持续访问，攻击始于向 ToolPane 端点发送 POST Web 请求，上传恶意脚本。
  重要细节：
• 各安全机构发布了关于该漏洞及应对措施的文章，如微软、Eye Security、美国 CISA、Sentinel One、Akamai、Tenable、Palo Alto Networks 等。
• 维护内部 SharePoint 服务器的用户应立即安装微软周六发布的紧急补丁，并仔细检查系统事件日志以寻找入侵迹象。