微软周六向 SharePoint Server 客户发出紧急警告，称主动攻击针对的是该软件产品中的0day漏洞，该漏洞编号为 CVE-2025-53770，CVSS 评分为 9.8。

目前尚未有针对该漏洞的补丁，该漏洞被称为“ ToolShell ”，微软称其是 CVE-2025-49706 的变体。

谷歌表示：“谷歌威胁情报小组观察到威胁组织利用此漏洞安装 Webshell，并从受害者服务器窃取加密的机密信息。这会导致持续的、未经身份验证的访问，并对受影响的组织构成重大风险。”

Palo Alto Networks Unit42 团队周六表示，他们还发现影响 Microsoft SharePoint 的 CVE-2025-49704 和 CVE-2025-49706 漏洞正被积极利用。

利用此漏洞的攻击者不仅会注入任意代码，还会滥用 SharePoint 反序列化不受信任对象的方式，使其甚至在身份验证之前就能执行命令。

一旦进入系统，他们就可以使用窃取的机器密钥伪造受信任的有效载荷，从而实现持久化或横向移动，并经常与合法的 SharePoint 活动混杂在一起——如果没有深度端点可见性，检测和响应将变得尤为困难。

微软在其安全公告中解释道： “为了保护本地 SharePoint Server 环境，建议客户在 SharePoint 中配置 AMSI集成，并在所有 SharePoint 服务器上部署Defender AV 。这将阻止未经身份验证的攻击者利用此漏洞。”

2025年7月18日晚，荷兰网络安全公司Eye Security 发现有人正在大规模利用一个新的SharePoint 远程代码执行 (RCE)漏洞链，该漏洞链名为ToolShell，几天前在 X 上演示过。

该漏洞正被广泛利用，入侵全球各地的本地 SharePoint 服务器，该漏洞被微软跟踪为(CVE-2025-53770)。

对于无法启用 AMSI 的用户，建议断开 SharePoint Server 与互联网的连接，直到有可用的安全更新为止。为了增强保护，建议用户部署 Defender for Endpoint 来检测并阻止漏洞利用后的活动。

Eye Security 团队扫描了全球8000 多台 SharePoint 服务器，发现数十个系统遭到主动入侵，入侵时间可能在 7 月 18 日 18:00 左右（UTC）和 7 月 19 日 07:30 左右（UTC）。

漏洞时间线：

2025年7月18日晚，Eye Security 团队收到来自某位客户的CrowdStrike Falcon EDR部署的警报 。该警报标记了旧版 SharePoint 本地服务器上的可疑进程链，该进程链与最近上传的恶意.aspx文件相关联。

乍一看，它看起来很眼熟。是一个经典的 Web Shell，在自定义路径中嵌入了混淆代码，旨在允许通过 HTTP 执行远程命令。

仔细分析后认为，有攻击者在不进行任何身份验证的情况下将文件写入服务器。研究人员意识到，这不是一个简单的基于凭证的入侵，而是一个0day漏洞利用。

三天前，Code White GmbH的安全团队演示了他们可以复现 SharePoint 中一个未经身份验证的 RCE 漏洞链，该漏洞链由今年 5 月初在柏林 Pwn2Own 漏洞大会上披露的两个漏洞 CVE-2025-49706 和 CVE-2025-49704 组合而成。他们将该漏洞链命名为ToolShell。

当时，它被认为是一个概念验证。没有公开代码发布，细节也很少。研究人员最终确认这是一个被武器化的Pwn2Own 漏洞。

Eye Security 首席技术官 Piet Kerkhofs 在一份声明中说：“我们仍在识别大规模漏洞攻击浪潮。这将产生巨大影响，攻击者正在利用这种远程代码执行技术快速横向移动。”

截至本文撰写时，全球已有超过 85 台 SharePoint 服务器被确认受到恶意 Web Shell 攻击。这些被黑的服务器属于 29 个组织，其中包括跨国公司和政府机构。

Eye Security详细漏洞分析：

https://research.eye.security/sharepoint-under-siege/

微软官方安全指南：

https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/