微軟上周六發佈客戶指引,警告一項SharePoint重大漏洞CVE-2025-53770已遭到濫用。使用本地部署SharePoint Server的9000多家組織都可能受害,臺灣也有數十臺機器曝險。
這波攻擊是由資安廠商Eye首先發現SharePoint Server二項漏洞,包括CVE-2025-53770及CVE-2025-53771於7月17日證實遭到串聯利用對本地部署SharePoint Server用戶發動攻擊。
兩項漏洞為微軟7月修補的漏洞變種。7月初另一批研究人員發現SharePoint Server CVE-2025-49706及CVE-2025-49704可被串聯使用,而結合驗證繞過技巧(ToolShell)可將其武器化。微軟隨後將被武器化的CVE-2025-49706命名為CVE-2025-53770,風險值為9.8。CVE-2025-53771則為7.1。
Eye公司研究人員掃瞄全球8000餘臺SharePoint伺服器,偵測到有數十起濫用情形。華盛頓郵報則報導,這波攻擊影響美國聯邦政府機構、大學、能源公司及亞洲一家電信業者。
但其他研究人員相信若SharePoint用戶不採取行動,將導致更大規模攻擊。Censys首席研究員Silas Cutler對Techcrunch表示,該公司判斷駭客似乎一開始鎖定一小群政府機關相關對象發動攻擊,但是隨著更多駭客複製了濫用手法,可能會有更多組織受害。
根據ShadowServer Foundation和Censys合作,到7月18日,全球有9300多臺SharePoint Server IP位置曝露。其中1/3位於美國(逾3000),其次是荷蘭、愛爾蘭、英國,皆在500臺以上,加拿大也將近500臺,到了7月20日數字並沒有明顯下降。值得注意的是臺灣也有62個IP曝險。
發動CVE-2025-53770濫用的行動者身份尚不清楚。CISA已在周末發出警告。CISA並引用微軟的客戶指引。
微軟已經針對這項漏洞釋出安全更新,呼籲用戶應立即升級到最新版本。此外,客戶應啟用SharePoint整合反惡意軟體掃瞄介面(Antimalware Scan Interface)完整模式(full mode),該模式可部署Defender Antivirus到所有SharePoint伺服器,也可部署Microsoft Defender for Endpoint或類似方案。此外,應掃瞄107.191.58[.]76、104.238.159[.]149及96.9.125[.]147有無異常活動,特別是7月18及19日,並檢查/_layouts/15/ToolPane.aspx?DisplayMode=Edit的POST呼叫。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-12-01
2025-11-30
2025-12-04