微軟 SharePoint 零日漏洞遭利用,駭客可「無須驗證」取得完整控制權、竊取加密金鑰
有別於過去僅限於 Outlook 使用者或 Windows 瀏覽器的資訊安全威脅,近日 Microsoft SharePoint 內部部署伺服器正遭受大規模攻擊,且攻擊者正積極利用 CVE-2025-53770、CVE-2025-53771 等被稱為「ToolShell」的零日漏洞。
這些攻擊者將可以透過漏洞在無需身份驗證的情況下,取得伺服器的存取權限和控制權,最早發現這些攻擊的荷蘭資安公司 Eye Security 專家警告,攻擊者甚至能「執行程式碼並繞過多因素驗證 (MFA) 或單一登入 (SSO)」等身份保護措施。另一方面,由於 SharePoint 經常連結至 Outlook、Teams 和 OneDrive 等核心服務,一旦成功入侵,攻擊者便能存取所有 SharePoint 內容、系統檔案和配置,並在 Windows 網域中橫向移動。最嚴重的是,攻擊者更可以竊取加密金鑰,即使修補伺服器,這些竊取的金鑰仍然可能讓攻擊者「冒充使用者或服務」,更有部分受影響的 SharePoint Server 版本目前尚無修補程式可用。
SharePoint 零日攻擊已波及超過 54 個企業組織
Eye Security 專家透露,全球至少有 85 台 SharePoint 伺服器已被入侵,涉及超過 54 個組織,包括:數個跨國公司、國家政府、一所加州私立大學、一家加州私營能源運營商、一個聯邦政府衛生組織、一家私人 AI 科技公司、一家紐約州的金融科技公司,以及一個佛羅里達州的州政府組織。
目前微軟已針對 Microsoft SharePoint Subscription Edition(KB5002768)發布更新,但對於目前尚無可用修補程式的 Microsoft SharePoint 2019 和 2016 版本,仍在努力找尋解方。
另一方面,美國網路安全與基礎設施安全局 (CISA) 已將 CVE-2025-53770 漏洞添加到其「已知被利用漏洞目錄」(Known Exploited Vulnerability catalog) 中,CISA 也表示目前已與微軟合作,協助通知潛在受影響的企業組織。
快速應對 SharePoint 零日攻擊的策略
面對這次大規模 SharePoint 零日攻擊,微軟建議所有 SharePoint 伺服器應立即部署並啟用反惡意軟體掃描介面 (AMSI) ,若無法做到,則應將伺服器與網際網路斷開連線。此外,無論是否已安裝更新或啟用 AMSI,都必須旋轉 SharePoint Server 的 ASP.NET 機器金鑰,以防攻擊者利用已竊取的加密金鑰持續冒充使用者或服務。
SharePoint 零日攻擊如同一個潛伏在核心基礎設施中的定時炸彈,不僅能造成即時破壞,還能竊取加密金鑰。即使日後漏洞被修補,攻擊者仍可能隨時以合法身分作為掩護,啟動新一輪攻擊,這也使得這場資安攻防戰不僅要快速拆彈,更是對長期資安韌性的實質挑戰。
*本文開放合作夥伴轉載,參考資料:《Forbes》、《BLEEPINGCOMPUTER》、《Help Net Security》,首圖來源:Pixabay。