紧急警报：新的“ToolShell”漏洞利用正在积极入侵微软SharePoint服务器。

全球组织被敦促立即为其Microsoft SharePoint服务器打补丁，此前发现了一个名为“ToolShell”的严重新零日漏洞，该漏洞正被广泛攻击积极利用。这场复杂的攻击活动使攻击者能够获得对易受攻击系统的完全、未经身份验证的远程代码执行（RCE）权限和完全控制权。 荷兰网络安全公司Eye Security于2025年7月18日发现了该漏洞的活跃利用，并指出从最初的概念验证到大规模武器化的速度前所未有。“ToolShell”漏洞利用链（CVE-2025-49706和CVE-2025-49704）于2025年7月15日由CODE WHITE GmbH公开披露，仅仅72小时内，威胁行为者就发起了协同攻击，第二波明显的攻击浪潮于2025年7月19日出现。 与典型的Web Shell不同，“ToolShell”漏洞利用专门针对SharePoint的`/_layouts/15/ToolPane.aspx`端点，以窃取敏感的加密密钥，包括ValidationKey和DecryptionKey材料。这使得攻击者能够制作看似合法的有效载荷，绕过所有安全控制，并实现即使打补丁也能持续存在的访问权限。 微软已承认这一活跃威胁，并分配了一个新的CVE标识符（CVE-2025-53770），作为其2025年7月安全更新的一部分，发布了紧急安全补丁。受影响的版本包括SharePoint Server 2016、2019和Subscription Edition。微软强调，立即打补丁是*唯一*的缓解措施。 至关重要的是，组织必须明白，应用补丁*不会*清除已经入侵其系统的攻击者。Eye Security的扫描已经揭示了数十台受感染的服务器。因此，除了打补丁之外，组织还必须进行彻底的入侵评估，扫描入侵指标（IoCs），例如已识别的恶意IP（107.191.58.76, 104.238.159.149），并实施强大的检测机制，以确保攻击者被彻底清除。

Read the English version (阅读英文版)

免责声明：本文内容来自互联网公开信息，请仔细甄别，如有侵权请联系我们删除。