關閉選單
  1. Home
  2. NEWS最新消息
  3. 案例與專題
  4. 資安管理
顯示分類
2025.07.23
案例與專題/資安管理
SharePoint 零時差漏洞 ToolShell 深度解析:反序列化與 ViewState 濫用技術曝光

漏洞背景與相關編號

  1. CVE‑2025‑53770 是一項屬於 Microsoft SharePoint Server 的高風險零時差漏洞(CVSS 9.8),原先被識別為 CVE‑2025‑49704,但由於最初補丁不足,演變出更強的後續變種。該漏洞屬於反序列化攻擊漏洞,攻擊者可透過特製 HTTP 請求注入不受信任的物件資料,進而觸發遠端程式碼執行(RCE)。
  2. CVE‑2025‑53771(CVSS 6.3)則源自 CVE‑2025‑49706,是一項路徑穿越/身份偽冒漏洞,可在特定情況下繞過身份驗證,為攻擊連鎖提供先機。
這兩項漏洞均存在於 SharePoint Server 2016、2019 與 Subscription Edition 的 on‑premise 環境中,SharePoint Online 不受影響。


ToolShell 漏洞攻擊鏈剖析

“ToolShell” 名稱來自攻擊者利用 /layouts/15/ToolPane.aspx 端點與 CVE‑2025‑49706 漏洞攜手達到 RCE 的攻擊架構。完整流程如下:
  1. HTTP Referer欄位偽造與身份繞過
    攻擊者向 /layouts/15/ToolPane.aspx 發出精心構造的 POST 請求,並在 Referer 預設為 /_layouts/SignOut.aspx,觸發 CVE‑2025‑53706(CVE‑2025‑49706)繞過驗證,進入 ToolPane 上傳階段。
  2. 上傳惡意 ASPX 檔案
    在成功進入後,上傳名為 spinstall0.aspx 或類似命名的惡意 Web shell,部署於 SharePoint 的 \TEMPLATE\LAYOUTS\ 資料夾下。該 shell 借助反序列化漏洞(CVE‑2025‑53770)開啓遠端程式碼執行。
  3. MachineKey 竊取與 ViewState 濫用
    spinstall0.aspx 被用來讀取網站的 ASP.NET MachineKey(包含 ValidationKeyDecryptionKey),並將其傳回攻擊者伺服器。同時,攻擊者利用這些 secrets 自行生成有效且簽署正確的 __VIEWSTATE payload,實現未經身份驗證的任意程式碼執行,達成後續 RCE 與持久性滲透。
  4. 橫向移動與內網控制
    攻擊一旦取得 MachineKey 並成功植入 Web shell,隨即展開後續部署,如 PowerShell、WMI、PsExec 等方式在 SharePoint 主機與內部關鍵伺服器之間移動,建立 C2 通道、蒐集憑證與敏感資料,並可能佈署額外後門。


影響範圍與實際攻擊實例

  1. 全球已爆破逾 75 至 85 台 SharePoint 伺服器,涵蓋政府、教育、能源、醫療與大型企業組織。
  2. 微軟在多份威脅用戶公告指出:該攻擊還導致例如奉偽造身份進行 lateral movement,取得密鑰後攻擊者可偽裝成 SharePoint 正常用戶進行活動,因此除了 RCE 外,也引發資料外洩與憑證竊取風險。
  3. 威脅行為者包括中國背景組織:Storm‑2603、Linen Typhoon、Violet Typhoon,具有鎖定政府機構與大型企業的行動模式。


核心技術細節解構

  1. 反序列化漏洞(CVE‑2025‑53770)
    SharePoint 在處理物件反序列化時未對輸入進行嚴格驗證,使得攻擊者可以構造惡意序列化資料,注入任意命令。實質上是利用 .NET 預設反序列化機制,繞過身份驗證即可注入並執行程式。
  2. 身份偽冒與路徑穿越(CVE‑2025‑53771)
    攻擊手法涉及操控 Referer 標頭與 GET/POST 請求路徑,強制 SharePoint 將身份驗證視為合法,並通過路徑解析誤用存取特定內部資源,此漏洞 CVSS 6.3 僅是 RCE 的助攻。
  3. MachineKey 與 ViewState 攻擊
    MachineKey 是 ASP.NET 用來對 ViewState、Auth Cookies 等做簽章的關鍵;攻擊者藉由 spinstall0.aspx 蒐集此 Key,便能產生任意命令 ViewState payload,繞過安全檢查植入後門或竊取資料,且無須驗證。
  4. 攻擊偵測難度高
    攻擊流程包含 early-stage RCE,後續 injection 與 lateral movement 多隱匿於正常流程流量之中,缺乏異常日誌。若無啟用行為分析工具(如 Defender for Endpoint/EDR),幾乎難以察覺。
  5. CVE 關係鏈分析
    • CVE‑2025‑49704 與 ‑49706 為早期漏洞,被修補後仍被 bypass。
    • CVE‑2025‑53770 對 49704 patch 做加強;
    • CVE‑2025‑53771 修正 49706 的繞過方式,為「完整修補鏈」。
       

攻擊時間軸梳理

  1. 7/7 開始:部分攻擊者已開始掃描受影響 SharePoint 主機。
  2. 7/18:Eye Security 首度公開 ToolShell exploit,例如 spinstall0.aspx 注入與 MachineKey 竊取。
  3. 7/19–7/22:多家資安單位(CISA、Palo Alto Unit 42、Trend Micro)陸續發佈警報,揭露漏洞與 exploitation 規模。
  4. 至今:確認至少 75 至 85 家組織遭入侵,持續滲透與。


總結

本次 CVE‑2025‑53770 與 CVE‑2025‑53771 漏洞揭示出 SharePoint Server 的重大弱點,尤其在 on‑premise 環境容易被攻擊者鎖定。攻擊者透過 ToolShell 技術鏈整合反序列化、身份繞過與 MachineKey 竊取,具備高度隱蔽性與滲透性。若未完整修補,即使攻擊者已經取得伺服器權限,也可能持續對內網進行橫向滲透與資料破壞。此動態提醒所有部署 SharePoint 的企業與政府單位:攻擊者已快速行動,風險實質,請即刻檢視並全面更新系統。
 
資料來源:https://www.trendmicro.com/en_ph/research/25/g/cve-2025-53770-and-cve-2025-53771-sharepoint-attacks.html