SharePoint 高危零日漏洞 (CVE‑2025‑53770) 遭利用,实现无需认证的远程代码执行
:police_car_light: CVE‑2025‑53770 — SharePoint零日漏洞变种遭利用,实现完全RCE
一个关键的无需认证的SharePoint远程代码执行漏洞(CVE-2025–53770)现已在野外被利用,它直接建立在欺骗漏洞CVE-2025–49706之上。
作者:Aditya Bhatt | 3分钟阅读 · 2025年7月22日
从 CVE‑2025‑49706 的严重升级
作者:Aditya Bhatt — 红队 | 渗透测试与漏洞评估
📌 内容提要
CVE‑2025‑53770 是微软SharePoint中的一个关键漏洞,CVSS评分9.8,无需身份验证即可实现远程代码执行,目前已在野外被主动利用。这不是一个独立问题,而是CVE‑2025‑49706 的一个变种。但是,CVE-2025-49706需要身份验证,而53770则不需要。
这是无需认证的代码执行,在正在发生的攻击中已出现真实的Web Shell投递和权限提升行为。请立即修补。
:repeat_button: 背景回顾
我之前分析了 CVE‑2025‑49706 —— SharePoint中的一个欺骗漏洞,允许令牌操作、Web Shell上传以及在获得认证立足点后的横向移动。
CVE‑2025‑53770 建立在相同的基础上,但完全跳过了登录步骤。
🧠 什么是 CVE‑2025‑53770?
- 类型: 无需认证的远程代码执行
- 严重性: CVSS 9.8
- 受影响产品:
- SharePoint Server 2016
- SharePoint Server 2019
- SharePoint Server 订阅版
:magnifying_glass_tilted_left: 根本原因
根据微软的说法,这是CVE‑2025‑49706的一个变种,涉及对特制的身份验证令牌处理不当——结合恶意的__VIEWSTATE有效载荷——导致直接在IIS工作进程中执行代码。
⚔️ 真实世界攻击
:police_car_light: ToolShell 攻击活动更新:
攻击者正在组合利用:
- CVE‑2025‑49704
- CVE‑2025‑49706
- CVE‑2025‑53770
并投递: spinstall0.aspxWeb ShellSuspSignoutReq.exe等有效载荷- 在
w3wp.exe下的持久化工具
:bullseye: 受影响目标
- 政府和教育部门
- 本地部署的SharePoint门户
- 任何未在2025年7月打补丁且暴露在互联网上的SharePoint实例
🧪 攻击流程
- 恶意请求发送到易受攻击的端点
- 注入的
__VIEWSTATE有效载荷或伪造的令牌绕过验证 - 代码在IIS中以
NT AUTHORITY\SYSTEM权限执行 - Web Shell被上传,建立远程访问
- 启动C2通信,开始横向移动
🛡️ 缓解与修补
:check_mark_button: 立即打补丁
微软已于2025年7月20-21日发布了带外安全更新:
- SharePoint 2019 ➝ KB5002741
- SharePoint SE ➝ KB5002755
- SharePoint 2016 补丁待定——请尽快隔离服务器
:check_mark_button: 系统加固
- 打补丁前,禁用对SharePoint的外部访问
- 轮换机器密钥 / viewstate验证密钥
- 启用AMSI + Defender AV,并设置PowerShell标志:
Set-MpPreference -EnableControlledFolderAccess Enabled
Set-MpPreference -EnableScriptScanning $true
:magnifying_glass_tilted_right: 检测与威胁狩猎
IOC示例:
spinstall0.aspxSuspSignoutReq.exe- POST载荷中出现大型编码的
__VIEWSTATE - 可疑的进程树:
w3wp.exe → cmd.exe → powershell.exe
Defender KQL 狩猎查询示例:
DeviceFileEvents
| where FileName contains "spinstall0.aspx" or FolderPath contains "inetpub"
| where ActionType == "FileCreated"
🔗 与 CVE‑2025‑49706 的关联
微软已确认53770是49706的变种,现已武器化为无需认证的RCE。
🧠 最终思考
这不仅仅是又一个CVE发布。CVE‑2025‑53770是近期记忆中最为危险的SharePoint漏洞之一。它建立在一个已经很糟糕的欺骗漏洞之上,并消除了唯一的屏障——身份验证。
如果你正在运行本地SharePoint实例,并且自2025年7月初以来尚未打补丁,请假设已经失陷,并积极进行威胁狩猎。
📚 参考资料
- 微软博客 — CVE-2025–53770
- SecurityWeek 报道
- 我对 CVE‑2025‑49706 的分析
- Wiz 威胁情报
👨💻 关于作者
我是一名专注于攻击性安全、漏洞分析和红队行动的网络安全从业者。我在TryHackMe上排名前2%,并发布了KeySentry、ShadowHash和PixelPhantomX等安全工具。我持有CEH、Security+和IIT Kanpur红队证书等认证,并定期为InfoSec WriteUps和其他安全平台撰稿。
CSD0tFqvECLokhw9aBeRqpNzLTXFlojmzFn6OlyTg9V4ZLVjktTcAg2Nby+L3WiH/rVq+lJ7nPxbweCKeDzXO5db+vnwYF3EWLJQAfa4F5mhxjTcVDEoanAim5+q1flpndxjhuupg8AYW+vJva4lXTzraQlwXoH/Ij9NJa6+83k=
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号