关键网络安全警报:针对本地 SharePoint 服务器的漏洞
上周末,多家网络安全机构披露了一系列持续存在的网络攻击,这些攻击专门针对本地 SharePoint Server 环境,利用了尚未解决的漏洞。值得注意的是,CVE-2025-53770(俗称 ToolShell)允许未经授权访问 SharePoint 服务器。
微软对主动威胁的回应
微软已意识到这些活跃漏洞,并已确认已在 7 月安全更新中实施部分缓解措施。重要的是,这些漏洞仅影响本地 SharePoint Server 安装,而通过 Microsoft 365 使用 SharePoint Online 的客户则不受影响。
访问安全更新
组织可以通过以下链接获取与其系统相关的 7 月安全更新:
建议的缓解策略
在全面修复补丁的过程中,我们鼓励用户采取以下预防措施:
- 利用本地 SharePoint Server 的受支持版本。
- 安装所有可用的安全更新,重点关注 2025 年 7 月的安全更新。
- 激活并正确配置反恶意软件扫描接口 (AMSI),确保有兼容的防病毒解决方案,例如 Microsoft Defender Antivirus。
- 实施 Microsoft Defender for Endpoint 保护或类似的端点威胁检测解决方案。
- 定期轮换 SharePoint Server 的 ASP. NET 机器密钥。
检测和威胁识别
Microsoft Defender 防病毒软件能够识别服务器是否受到此安全漏洞的影响。受影响的系统可以使用以下检测名称进行标记:
- 漏洞:Script/SuspSignoutReq. A
- 木马:Win32/HijackSharePointServer. A
研究结果和紧急行动呼吁
网络安全研究公司 Eye 表示:“我们的分析涉及扫描全球 8, 000 多台 SharePoint 服务器,发现了多起主动入侵事件,特别是在 7 月 18 日 18:00 UTC 和 7 月 19 日 07:30 UTC 左右。”
鉴于此漏洞的严重性,所有本地 SharePoint 管理员必须立即实施最新的安全更新并严格遵守建议的缓解策略。
发表回复