CVE-2025–49706:SharePoint 漏洞正遭黑客大规模利用
字数 2150 2025-09-01 11:26:11

Microsoft SharePoint 身份欺骗漏洞 (CVE-2025-49706) 全面分析与防护指南

漏洞概述

CVE-2025-49706 是一个存在于 Microsoft SharePoint Server 中的身份欺骗漏洞,已从中等风险演变为被黑客大规模利用的实际威胁。该漏洞的变种 CVE-2025-53770 也正在被广泛利用。

受影响版本

  • SharePoint Server 2016
  • SharePoint Server 2019
  • SharePoint Server 订阅版(版本号低于 16.0.18526.20424)

漏洞技术分析

漏洞成因

该漏洞属于 CWE-287: Improper Authentication(不恰当的身份验证)类别。服务器对用户身份验证的处理方式存在缺陷,允许已通过身份验证的低权限攻击者构造并发送欺骗性网络请求,冒充其他用户身份,最终实现权限提升。

CVSS 评分

官方评分为 6.3(中等),但实际威胁远高于此评分:

  • 可与其他漏洞串联形成"组合拳"攻击
  • 可导致"毁灭性"打击效果

攻击模拟与分析

攻击场景

一个已认证的普通 SharePoint 用户通过发送精心伪造的 POST 请求,上传 WebShell(网站后门),最终在服务器上执行系统级别的任意代码。

攻击条件

  1. 一个已通过身份验证的 SharePoint 普通用户账号(无需管理员权限)
  2. 抓包工具(如 Burp Suite 或其他中间人代理工具)
  3. 能够访问目标服务器上的特定页面(如 /sites//_layouts/15/SignOut.aspx
  4. 存在未能正确处理伪造请求头的目标接口

攻击步骤详解

  1. 使用普通用户账号登录 SharePoint
  2. 使用 Burp Suite 拦截发往存在缺陷接口(如 SignOut.aspxUserProfileService.asmx)的正常请求
  3. 篡改请求头信息,例如:
    • X-User-Token: spoofedtoken(伪造的用户令牌)
    • X-Ms-Client-Request-Id: {malicious-guid}(恶意的客户端请求ID)
  4. 将包含攻击Payload的篡改后请求重放给服务器
  5. 利用 POST 参数上传后门文件: 
    <form action="/_layouts/15/upload.aspx" method="POST" enctype="multipart/form-data">
  <input type="file" name="webshell.aspx">
</form>
  6. 攻击者访问上传的后门文件(如 spinstall0.aspx),通过 URL 查询参数直接在服务器上执行系统命令

攻击结果

  • 获得反向 Shell 或持久化后门
  • 完全绕过常规的身份验证和授权检查
  • 与 CVE-2025-53770 结合利用可获得对 SharePoint 服务器的完全远程代码执行(RCE)权限

真实世界攻击:"ToolShell"攻击行动

Microsoft 与多家安全机构确认的攻击特征:

  1. 组合拳利用:CVE-2025-49706 + CVE-2025-49704
  2. 植入后门:上传名为 spinstall0.aspx 的 Web Shell
  3. 窃取令牌:偷取 SharePoint 的身份验证令牌
  4. 权限提升:通过进程注入技术提升至 NT AUTHORITY\SYSTEM(系统最高权限)
  5. 释放载荷:安装如 SuspSignoutReq.exe 等恶意软件

检测与发现方法

使用 Microsoft Defender 检测

关注以下安全警报:

  • Possible web shell installation(检测到可能的后门安装)
  • Suspicious IIS Worker Behavior(检测到可疑的 IIS 进程活动)
  • HijackSharePointServer(检测到劫持 SharePoint 服务器的行为)

文件系统检查

检查以下路径是否存在 spinstall0.aspx 文件:

C:\inetpub\wwwroot\wss\VirtualDirectories*

其他指标

  1. 恶意文件
    • SuspSignoutReq.exe
    • sharepoint_helper.dll
  2. 异常外联
    • 监控来自 SharePoint 服务器的可疑出站网络连接
    • 特别注意访问 .onion(暗网)域名或随机 DNS 的流量

防护与缓解措施

立即安装补丁

安装微软 2025 年 7 月"补丁星期二"发布的更新:

  • SharePoint 2016: KB5002744
  • SharePoint 2019: KB5002741

启用安全防护

执行以下 PowerShell 命令启用实时保护:

Set-MpPreference -EnableScriptScanning $true
Set-MpPreference -DisableRealtimeMonitoring $false

临时应急方案

如果无法立即安装补丁:

  1. 将 SharePoint 服务器与公网隔离
  2. 阻止攻击者投递初始攻击Payload

高级威胁狩猎

在 Microsoft 365 Defender 的"高级威胁狩猎"功能中使用以下 KQL 查询检测 Web Shell 植入行为:

DeviceFileEvents
| where FileName contains "spinstall0.aspx" or FolderPath contains "inetpub"
| where ActionType == "FileCreated"

总结与建议

  1. 不要低估威胁:尽管 CVSS 评分为 6.3,但实际威胁严重
  2. 立即行动:2025 年 6 月以来未更新的 SharePoint 服务器很可能已成为攻击目标
  3. 多层防御:补丁+监控+隔离的综合防护策略
  4. 持续监控:即使已打补丁,仍需监控可能的残留攻击痕迹

注意:本文档仅供安全研究与授权测试参考,未经授权对系统进行测试可能违反法律法规。

Microsoft SharePoint 身份欺骗漏洞 (CVE-2025-49706) 全面分析与防护指南 漏洞概述 CVE-2025-49706 是一个存在于 Microsoft SharePoint Server 中的身份欺骗漏洞,已从中等风险演变为被黑客大规模利用的实际威胁。该漏洞的变种 CVE-2025-53770 也正在被广泛利用。 受影响版本 SharePoint Server 2016 SharePoint Server 2019 SharePoint Server 订阅版(版本号低于 16.0.18526.20424) 漏洞技术分析 漏洞成因 该漏洞属于 CWE-287: Improper Authentication (不恰当的身份验证)类别。服务器对用户身份验证的处理方式存在缺陷,允许已通过身份验证的低权限攻击者构造并发送欺骗性网络请求,冒充其他用户身份,最终实现权限提升。 CVSS 评分 官方评分为 6.3(中等) ,但实际威胁远高于此评分: 可与其他漏洞串联形成"组合拳"攻击 可导致"毁灭性"打击效果 攻击模拟与分析 攻击场景 一个已认证的普通 SharePoint 用户通过发送精心伪造的 POST 请求,上传 WebShell(网站后门),最终在服务器上执行系统级别的任意代码。 攻击条件 一个已通过身份验证的 SharePoint 普通用户账号(无需管理员权限) 抓包工具(如 Burp Suite 或其他中间人代理工具) 能够访问目标服务器上的特定页面(如 /sites//_layouts/15/SignOut.aspx ) 存在未能正确处理伪造请求头的目标接口 攻击步骤详解 使用普通用户账号登录 SharePoint 使用 Burp Suite 拦截发往存在缺陷接口(如 SignOut.aspx 、 UserProfileService.asmx )的正常请求 篡改请求头信息,例如: X-User-Token: spoofedtoken (伪造的用户令牌) X-Ms-Client-Request-Id: {malicious-guid} (恶意的客户端请求ID) 将包含攻击Payload的篡改后请求重放给服务器 利用 POST 参数上传后门文件: 攻击者访问上传的后门文件(如 spinstall0.aspx ),通过 URL 查询参数直接在服务器上执行系统命令 攻击结果 获得反向 Shell 或持久化后门 完全绕过常规的身份验证和授权检查 与 CVE-2025-53770 结合利用可获得对 SharePoint 服务器的完全远程代码执行(RCE)权限 真实世界攻击:"ToolShell"攻击行动 Microsoft 与多家安全机构确认的攻击特征: 组合拳利用 :CVE-2025-49706 + CVE-2025-49704 植入后门 :上传名为 spinstall0.aspx 的 Web Shell 窃取令牌 :偷取 SharePoint 的身份验证令牌 权限提升 :通过进程注入技术提升至 NT AUTHORITY\SYSTEM (系统最高权限) 释放载荷 :安装如 SuspSignoutReq.exe 等恶意软件 检测与发现方法 使用 Microsoft Defender 检测 关注以下安全警报: Possible web shell installation (检测到可能的后门安装) Suspicious IIS Worker Behavior (检测到可疑的 IIS 进程活动) HijackSharePointServer (检测到劫持 SharePoint 服务器的行为) 文件系统检查 检查以下路径是否存在 spinstall0.aspx 文件: 其他指标 恶意文件 : SuspSignoutReq.exe sharepoint_helper.dll 异常外联 : 监控来自 SharePoint 服务器的可疑出站网络连接 特别注意访问 .onion (暗网)域名或随机 DNS 的流量 防护与缓解措施 立即安装补丁 安装微软 2025 年 7 月"补丁星期二"发布的更新: SharePoint 2016: KB5002744 SharePoint 2019: KB5002741 启用安全防护 执行以下 PowerShell 命令启用实时保护: 临时应急方案 如果无法立即安装补丁: 将 SharePoint 服务器与公网隔离 阻止攻击者投递初始攻击Payload 高级威胁狩猎 在 Microsoft 365 Defender 的"高级威胁狩猎"功能中使用以下 KQL 查询检测 Web Shell 植入行为: 总结与建议 不要低估威胁 :尽管 CVSS 评分为 6.3,但实际威胁严重 立即行动 :2025 年 6 月以来未更新的 SharePoint 服务器很可能已成为攻击目标 多层防御 :补丁+监控+隔离的综合防护策略 持续监控 :即使已打补丁,仍需监控可能的残留攻击痕迹 注意 :本文档仅供安全研究与授权测试参考,未经授权对系统进行测试可能违反法律法规。