CISA发布SharePoint服务器攻击恶意软件分析报告

美国网络安全与基础设施安全局（CISA）发布了一份恶意软件分析报告，针对"ToolShell"攻击提供了入侵指标和Sigma规则，该攻击专门针对特定版本的微软SharePoint服务器。

"网络威胁行为者将CVE-2025-49704和CVE-2025-49706漏洞串联（这个漏洞利用链被公开称为'ToolShell'），以获得对本地SharePoint服务器的未经授权访问，"该机构在报告公告中解释道。

CISA分析了六个文件，包括两个动态链接库（.DLL）文件、一个加密密钥窃取器和三个网络外壳程序。网络威胁行为者可以利用这些恶意软件窃取加密密钥，并执行Base64编码的PowerShell命令来获取主机系统指纹并外泄数据。

SharePoint服务器中的关键漏洞CVE-2025-53770被评为"严重"级别，CVSS评分为9.8分。该漏洞基于早期的"中等"严重程度漏洞CVE-2025-49706构建。微软以为已经在上个月修补了这个漏洞，但后来发现它作为零日漏洞被积极利用，攻击了一些知名目标。

该漏洞与其他漏洞链接形成了名为"Toolshell"的漏洞利用链，允许通过不可信数据反序列化进行远程代码执行。已知利用该漏洞的组织包括Linen Typhoon（又名Emissary Panda、APT27）、Violet Typhoon（又名Zirconium、Judgment Panda、APT31）和Storm-2603。

截至7月23日，受害者数量已超过400个，包括美国能源部（DOE）。美国能源部向《The Register》确认，其国家核安全管理局（NNSA）已因该漏洞遭到入侵，但声称"影响很小"。

攻击的时机让至少一名安全研究人员得出结论，认为该漏洞是在5月份作为Pwn2Own利用竞赛的一部分进行私下披露后被泄露的。趋势科技零日计划威胁感知负责人达斯汀·蔡尔兹上个月告诉我们："这里某处发生了泄露。"

对于担心可能卷入所有这些SharePoint安全问题的用户，CISA的恶意软件分析报告可以提供一些保证。

除了CVE-2025-53770之外，该报告还涵盖了其他三个相关的SharePoint漏洞，这些漏洞用于形成"ToolShell"漏洞利用链，以及一个名为"SharpyShell"的"新型隐蔽网络外壳"，它通过简单的GET请求提取和外泄加密秘密。最重要的是，报告附带了入侵指标和一套Sigma格式的检测规则，Sigma是用于检测和日志系统的跨供应商开源标准。

这些规则允许用户分析日志，寻找通过四个已知漏洞中任何一个进行利用的证据：CVE-2025-49704（CWE-94：代码注入）；CVE-2025-49706（CWE-287：身份验证不当）；CVE-2025-53770（CWE-502：可信数据反序列化）；以及CVE-2025-53771（CWE-287：身份验证不当）。

但是，寻求实施这些规则的用户建议在部署前进行测试。CISA警告："确保您的EDR/SIEM（端点检测与响应/安全信息与事件管理）实例有足够的内存来运行这些基于AND/OR条件的查询，这些查询可能比常规Sigma规则查询运行时间更长。"

完整报告以及入侵指标和Sigma规则可在CISA网站上获取。

Q&A

Q1：ToolShell攻击是什么？它如何影响SharePoint服务器？

A：ToolShell是一个漏洞利用链，网络威胁行为者将CVE-2025-49704和CVE-2025-49706漏洞串联，获得对本地SharePoint服务器的未经授权访问。攻击者可以利用这些恶意软件窃取加密密钥，执行PowerShell命令获取系统信息并外泄数据。

Q2：哪些组织使用了SharePoint漏洞进行攻击？

A：已知利用这些SharePoint漏洞的组织包括Linen Typhoon（又名Emissary Panda、APT27）、Violet Typhoon（又名Zirconium、Judgment Panda、APT31）和Storm-2603。这些都是知名的高级持续性威胁（APT）组织。

Q3：CISA发布的恶意软件分析报告包含什么内容？

A：CISA的报告分析了六个恶意文件，包括两个动态链接库文件、一个加密密钥窃取器和三个网络外壳程序。报告提供了入侵指标和Sigma格式的检测规则，帮助用户分析日志并检测四个相关漏洞的利用证据。