Microsoft SharePoint 身份欺骗漏洞 (CVE-2025-49706) 全面分析与防护指南<\/h1>

漏洞概述<\/h2>
CVE-2025-49706<\/strong> 是一个存在于 Microsoft SharePoint Server 中的身份欺骗漏洞，已从中等风险演变为被黑客大规模利用的实际威胁。该漏洞的变种 CVE-2025-53770<\/strong> 也正在被广泛利用。<\/p>

受影响版本<\/h3>

SharePoint Server 2016<\/li>
SharePoint Server 2019<\/li>
SharePoint Server 订阅版（版本号低于 16.0.18526.20424）<\/li> <\/ul>
漏洞技术分析<\/h2>
漏洞成因<\/h3>
该漏洞属于 CWE-287: Improper Authentication<\/strong>（不恰当的身份验证）类别。服务器对用户身份验证的处理方式存在缺陷，允许已通过身份验证的低权限攻击者构造并发送欺骗性网络请求，冒充其他用户身份，最终实现权限提升。<\/p>
CVSS 评分<\/h3>
官方评分为 6.3（中等）<\/strong>，但实际威胁远高于此评分：<\/p>

可与其他漏洞串联形成"组合拳"攻击<\/li>
可导致"毁灭性"打击效果<\/li> <\/ul>
攻击模拟与分析<\/h2>
攻击场景<\/h3>
一个已认证的普通 SharePoint 用户通过发送精心伪造的 POST 请求，上传 WebShell（网站后门），最终在服务器上执行系统级别的任意代码。<\/p>
攻击条件<\/h3>

一个已通过身份验证的 SharePoint 普通用户账号（无需管理员权限）<\/li>
抓包工具（如 Burp Suite 或其他中间人代理工具）<\/li>
能够访问目标服务器上的特定页面（如 \/sites\/\/_layouts\/15\/SignOut.aspx<\/code>）<\/li>
存在未能正确处理伪造请求头的目标接口<\/li> <\/ol> 攻击步骤详解<\/h3> 使用普通用户账号登录 SharePoint<\/li> 使用 Burp Suite 拦截发往存在缺陷接口（如 SignOut.aspx<\/code>、UserProfileService.asmx<\/code>）的正常请求<\/li> 篡改请求头信息，例如： X-User-Token: spoofedtoken<\/code>（伪造的用户令牌）<\/li> X-Ms-Client-Request-Id: {malicious-guid}<\/code>（恶意的客户端请求ID）<\/li> <\/ul> <\/li> 将包含攻击Payload的篡改后请求重放给服务器<\/li> 利用 POST 参数上传后门文件： <form<\/span> action<\/span>=<\/span>"\/_layouts\/15\/upload.aspx"<\/span> method<\/span>=<\/span>"POST"<\/span> enctype<\/span>=<\/span>"multipart\/form-data"<\/span>> <\/span><\/span> <input<\/span> type<\/span>=<\/span>"file"<\/span> name<\/span>=<\/span>"webshell.aspx"<\/span>> <\/span><\/span><\/form<\/span>> <\/span><\/span><\/code><\/pre><\/li> 攻击者访问上传的后门文件（如 spinstall0.aspx<\/code>），通过 URL 查询参数直接在服务器上执行系统命令<\/li> <\/ol> 攻击结果<\/h3> 获得反向 Shell 或持久化后门<\/li> 完全绕过常规的身份验证和授权检查<\/li> 与 CVE-2025-53770 结合利用可获得对 SharePoint 服务器的完全远程代码执行(RCE)权限<\/li> <\/ul> 真实世界攻击："ToolShell"攻击行动<\/h2> Microsoft 与多家安全机构确认的攻击特征：<\/p> 组合拳利用<\/strong>：CVE-2025-49706 + CVE-2025-49704<\/li> 植入后门<\/strong>：上传名为 spinstall0.aspx<\/code> 的 Web Shell<\/li> 窃取令牌<\/strong>：偷取 SharePoint 的身份验证令牌<\/li> 权限提升<\/strong>：通过进程注入技术提升至 NT AUTHORITY\SYSTEM<\/code>（系统最高权限）<\/li> 释放载荷<\/strong>：安装如 SuspSignoutReq.exe<\/code> 等恶意软件<\/li> <\/ol> 检测与发现方法<\/h2> 使用 Microsoft Defender 检测<\/h3> 关注以下安全警报：<\/p> Possible web shell installation<\/code>（检测到可能的后门安装）<\/li> Suspicious IIS Worker Behavior<\/code>（检测到可疑的 IIS 进程活动）<\/li> HijackSharePointServer<\/code>（检测到劫持 SharePoint 服务器的行为）<\/li> <\/ul> 文件系统检查<\/h3> 检查以下路径是否存在 spinstall0.aspx<\/code> 文件：<\/p> C:\inetpub\wwwroot\wss\VirtualDirectories* <\/code><\/pre> 其他指标<\/h3> 恶意文件<\/strong>： SuspSignoutReq.exe<\/code><\/li> sharepoint_helper.dll<\/code><\/li> <\/ul> <\/li> 异常外联<\/strong>：监控来自 SharePoint 服务器的可疑出站网络连接<\/li> 特别注意访问 .onion<\/code>（暗网）域名或随机 DNS 的流量<\/li> <\/ul> <\/li> <\/ol> 防护与缓解措施<\/h2> 立即安装补丁<\/h3> 安装微软 2025 年 7 月"补丁星期二"发布的更新：<\/p> SharePoint 2016: KB5002744<\/li> SharePoint 2019: KB5002741<\/li> <\/ul> 启用安全防护<\/h3> 执行以下 PowerShell 命令启用实时保护：<\/p> Set-MpPreference -EnableScriptScanning $true <\/span><\/span>Set-MpPreference -DisableRealtimeMonitoring $false <\/span><\/span><\/code><\/pre>临时应急方案<\/h3> 如果无法立即安装补丁：<\/p> 将 SharePoint 服务器与公网隔离<\/li> 阻止攻击者投递初始攻击Payload<\/li> <\/ol> 高级威胁狩猎<\/h2> 在 Microsoft 365 Defender 的"高级威胁狩猎"功能中使用以下 KQL 查询检测 Web Shell 植入行为：<\/p> DeviceFileEvents | where FileName contains "spinstall0.aspx" or FolderPath contains "inetpub" | where ActionType == "FileCreated" <\/code><\/pre> 总结与建议<\/h2> 不要低估威胁<\/strong>：尽管 CVSS 评分为 6.3，但实际威胁严重<\/li> 立即行动<\/strong>：2025 年 6 月以来未更新的 SharePoint 服务器很可能已成为攻击目标<\/li> 多层防御<\/strong>：补丁+监控+隔离的综合防护策略<\/li> 持续监控<\/strong>：即使已打补丁，仍需监控可能的残留攻击痕迹<\/li> <\/ol> 注意<\/strong>：本文档仅供安全研究与授权测试参考，未经授权对系统进行测试可能违反法律法规。<\/p>

Microsoft SharePoint 身份欺骗漏洞 (CVE-2025-49706) 全面分析与防护指南<\/h1>

漏洞概述<\/h2> CVE-2025-49706<\/strong> 是一个存在于 Microsoft SharePoint Server 中的身份欺骗漏洞，已从中等风险演变为被黑客大规模利用的实际威胁。该漏洞的变种 CVE-2025-53770<\/strong> 也正在被广泛利用。<\/p>

漏洞技术分析<\/h2>

攻击模拟与分析<\/h2>

攻击场景<\/h3> 一个已认证的普通 SharePoint 用户通过发送精心伪造的 POST 请求，上传 WebShell（网站后门），最终在服务器上执行系统级别的任意代码。<\/p>

检测与发现方法<\/h2>

防护与缓解措施<\/h2>

漏洞概述<\/h2>
CVE-2025-49706<\/strong> 是一个存在于 Microsoft SharePoint Server 中的身份欺骗漏洞，已从中等风险演变为被黑客大规模利用的实际威胁。该漏洞的变种 CVE-2025-53770<\/strong> 也正在被广泛利用。<\/p>

攻击场景<\/h3>
一个已认证的普通 SharePoint 用户通过发送精心伪造的 POST 请求，上传 WebShell（网站后门），最终在服务器上执行系统级别的任意代码。<\/p>