关于 ToolShell 的须知,即正在被大规模利用的 SharePoint 威胁

主要观点:过去四天,因微软广泛使用的文档共享应用 SharePoint 的关键漏洞被大规模利用,政府机构和私营企业遭受攻击。人们将此活动称为 ToolShell,以下是关于该漏洞及持续利用的常见问题解答。
关键信息

  • SharePoint 是用于内部文档存储、管理、共享和协作的服务器软件,2001 年开始销售,2020 年有 2 亿用户,40 多万客户组织使用,约 80%为财富 500 强公司。
  • 漏洞 CVE-2025-53770 可在运行 SharePoint 的服务器上实现未经身份验证的远程代码执行,严重等级为 9.8,周六被发现已在全球范围内造成数十个系统受损,周三估计达 400 个系统,包括美国国家核安全管理局网络,微软称 7 月 7 日已开始被利用,仅影响内部运行的 SharePoint 系统,不影响云服务。
  • 微软观察到三个与中国政府有关的攻击群体在利用该漏洞,分别是 Linen Typhoon、Violet Typhoon 和 Storm-2603,不排除其他群体利用的可能。
  • ToolShell 是 5 月 Pwn2Own 黑客竞赛中使用的漏洞名称,由 Khoa of Viettel Cyber Security 的研究员 Dinh Ho Anh 命名,微软两周前已修复相关漏洞,但周末发现补丁不完整导致新攻击。
  • 攻击者利用新的 ToolShell 漏洞,先用 webshell 后门感染易受攻击的系统,获取敏感数据和管理权限,部署后门以持续访问,攻击始于向 ToolPane 端点发送 POST Web 请求,上传恶意脚本。
    重要细节
  • 各安全机构发布了关于该漏洞及应对措施的文章,如微软、Eye Security、美国 CISA、Sentinel One、Akamai、Tenable、Palo Alto Networks 等。
  • 维护内部 SharePoint 服务器的用户应立即安装微软周六发布的紧急补丁,并仔细检查系统事件日志以寻找入侵迹象。
阅读 28
0 条评论