漏洞背景

2025年7月18日起，全球多国 SharePoint 服务器遭受无认证要求的RCE攻击。攻击链包含两个核心漏洞：CVE-2025-49704（反序列化漏洞）和CVE-2025-49706（认证绕过漏洞），统称"ToolShell"。微软随后紧急发布CVE-2025-53770/53771补丁修复补丁绕过问题。

攻击技术剖析

漏洞利用链

1. CVE-2025-49706认证绕过

• 存在于PostAuthenticateRequestHandler方法（Microsoft.SharePoint.dll）
• 当HTTP请求头Referrer包含/_layouts/[14|15]/SignOut.aspx时触发逻辑缺陷
• 绕过关键认证检查条件：flag6=false且flag7=true

2. CVE-2025-53771补丁绕过

• 初始补丁通过检查路径是否以ToolPane.aspx结尾
• 绕过方法：在路径末尾添加/字符（如ToolPane.aspx/）

3. CVE-2025-49704反序列化漏洞

• 通过/_layouts/15/ToolPane.aspx端点传递恶意WebPart标记
• 利用ExcelDataSet控件的CompressedDataTable属性注入恶意DataSet
• 通过ExpandedWrapper技术绕过XML类型校验（将危险对象置于List中）

4. CVE-2025-53770根本修复

• 更新XmlValidator实现严格的类型校验
• 修复需手动运行SharePoint配置升级向导的安全缺陷

技术对抗时间线

防御建议

1. 立即安装2025年7月20日安全更新
2. 手动执行SharePoint配置升级（即使已安装早期补丁）
3. 启用行为检测解决方案（如Kaspersky Next）
4. 监控以下IoC：
   • HTTP请求特征：Referrer: /_layouts/15/SignOut.aspx
   • 恶意WebPart标记包含ExcelDataSet控件声明
   • 异常反序列化操作日志

长期影响评估

该漏洞链具有以下特点：

• 利用复杂度低（单HTTP请求即可完成攻击）
• 攻击面广（全球约43%企业使用受影响SharePoint版本）
• 残余风险高（类似ProxyLogon的长期利用预期）

更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码