微软紧急发布 SharePoint 安全更新,修复两个零日漏洞
微软针对两个被追踪为 CVE-2025-53770 和 CVE-2025-53771 的零日漏洞,紧急发布了 SharePoint 的安全更新。这两个漏洞已经被全球范围内的“ToolShell”攻击利用,造成了服务中断。
今年五月,在柏林 Pwn2Own 黑客大赛上,研究人员利用了一个名叫“ToolShell”的零日漏洞链,成功在 Microsoft SharePoint 上实现了远程代码执行。
这些漏洞在七月补丁星期二中得到了修复,但狡猾的攻击者又发现了两个新的零日漏洞,绕过了微软之前的补丁。
利用这些新漏洞,攻击者已经在全球范围内对 SharePoint 服务器发起了ToolShell 攻击,目前已影响到至少 54 家组织。
紧急更新已发布
微软现已为 SharePoint 订阅版和 SharePoint 2019 紧急推出了带外安全更新,修复了 CVE-2025-53770 和 CVE-2025-53771 两个漏洞。
不过,SharePoint 2016 的补丁还在开发中,暂时还没发布。
微软在公告中提到:“是的,CVE-2025-53770 的更新比 CVE-2025-49704 的补丁更强韧,CVE-2025-53771 的更新也比 CVE-2025-49706 的更给力。”
SharePoint 管理员需要根据版本立即安装以下安全更新:
- KB5002754 更新:适用于 SharePoint Server 2019。
- KB5002768 更新:适用于 SharePoint 订阅版。
- SharePoint Enterprise Server 2016 的更新还没出来。
安装完更新后,微软强烈建议管理员通过以下步骤轮换 SharePoint 的机器密钥:
SharePoint 管理员可以通过以下两种方法轮换机器密钥:
通过 PowerShell 手动操作
用 PowerShell 的 Update-SPMachineKey 命令来更新机器密钥。
通过中央管理页面手动操作
通过以下步骤触发机器密钥轮换定时任务:
- 打开 中央管理 网站。
- 进入 监控 -> 查看任务定义。
- 搜索 机器密钥轮换任务,然后点击 立即运行。
- 轮换完成后,在所有 SharePoint 服务器上运行 iisreset.exe 重启 IIS。
另外,建议检查日志和文件系统,确认是否有恶意文件或被攻击的痕迹。
需要注意的包括:
- 检查是否出现 C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx 文件。
- 检查 IIS 日志,看是否有对 _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx 的 POST 请求,且 HTTP 引用页面为 _layouts/SignOut.aspx。
微软还提供了以下 Microsoft 365 Defender 查询语句,帮你检查服务器上是否创建了 spinstall0.aspx 文件:
[AppleScript] 纯文本查看 复制代码 DeviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
如果发现这个文件,赶紧对被入侵的服务器和整个网络进行彻底调查,确保攻击者没有扩散到其他设备。
| 
匿名
发表于 2025-7-21 15:23:15
