發布編號：OIS-CTI-2025-07-003

情資來源：iThome

事件類型：漏洞CVE-2025-53770

內容說明：上週末資安業者Eye Security發現零時差漏洞CVE-2025-53770的攻擊行動，駭客鎖定內部建置的SharePoint伺服器而來，目前確認至少有85臺伺服器、29個企業組織受害，微軟證實此事，並於20日發布部分版本的修補程式，值得留意的是，SharePoint Server 2016目前尚無修補程式，IT人員必須透過其他防護措施來降低風險

內容管理與團隊協作平臺SharePoint在企業的數位轉型與協作當中扮演極為重要的角色，一旦這種系統出現資安漏洞，就可能讓企業內部的機密資料外洩或是破壞，上週末出現大規模零時差漏洞攻擊行動引起各界關注。

這起事故最早揭露的是資安業者Eye Security，他們在7月18日晚間偵測到不尋常的大規模漏洞利用活動ToolShell，鎖定SharePoint而來，透過這種漏洞攻擊鏈，駭客能遠端執行任意程式碼（RCE），該漏洞19日得到微軟證實並登記為CVE-2025-53770，此為今年7月修補的CVE-2025-49706變形，影響內部建置的SharePoint Server 2016、2019，以及Subscription Edition，CVSS風險達到9.8（滿分10分），該公司於20日先為SharePoint Server的2019版，以及Subscription Edition發布修補程式，但截至目前為止，SharePoint Server 2016尚無修補程式，IT人員應透過最佳實務做法降低風險。

究竟這起事故曝險的範圍有多大？Eye Security並未在部落格文章提及，但他們向Bleeping Computer、The Hacker News等資安新聞媒體透露，至少有85臺SharePoint受害，這些伺服器是由29家企業組織掌管，其中部分是跨國企業組織及政府機關。

針對相關攻擊行動的發現，Eye Security先在世界協調時間（UTC）18日晚間18時察覺ASPX惡意酬載，後續於19日凌晨發布部落格警告此事，隨後於19日17時發現第二波大規模漏洞攻擊。

他們起初是在客戶部署CrowdStrike Falcon EDR系統的主機收到異常警示，並看到駭客在舊版SharePoint伺服器執行一系列可疑活動，上傳有問題的ASPX檔案。但怪異的是，此SharePoint伺服器並未留下成功通過ADFS身分驗證的記錄，也沒有在IIS伺服器的事件記錄當中，留下存取網頁伺服器的使用者名稱資料（cs-username），IIS伺服器事件記錄的參照資料更是指向使用者登出的ASPX網頁（/_layouts/SignOut.aspx），根據上述現象，Eye Security認為，這些SharePoint伺服器之所以遭到入侵，對方應該不是採用暴力破解或是網釣攻擊。

經過調查，Eye Security確認攻擊者使用了零時差漏洞，其相關手法與數日前紅隊演練業者Code White公布的ToolShell攻擊手法一致，當時他們表示能在SharePoint重現未經身分驗證的RCE漏洞，此漏洞串連Pwn2Own Berlin 2025公布的CVE-2025-49706、CVE-2025-49704，Eye Security根據Code White公布的概念驗證資料，從而確定是新的零時差漏洞。

究竟駭客的目的為何？Eye Security原以為駭客打算透過Web Shell來執行命令、上傳檔案，或是在網路環境橫向移動，但他們看到對方埋入更危險的檔案spinstall0.aspx，而且，此檔案的主要功能，就是解開受到加密演算法保護的帳密資料並外流，然後試圖在SharePoint伺服器植入惡意程式Sharpyshell。不過，Sharpyshell並非典型的Web Shell，沒有任何互動的命令、反向Shell，或是C2通訊的邏輯，而是透過.NET的方法（Method）讀取SharePoint伺服器的MachineKey組態，來產生有效酬載valid __VIEWSTATE，並將任何通過身分驗證的SharePoint請求，轉成遠端執行程式碼之用。

影響平台：

• 影響內部建置的SharePoint Server 2016、2019，以及Subscription Edition

建議措施：

• SharePoint Server 2019：KB5002754 更新

• SharePoint Subscription Edition：KB5002768 更新

• SharePoint 2016：更新尚未發布

參考連結 ：