深入剖析CVE-2025-53770:无需认证的SharePoint零日RCE漏洞变种

qife122
45 阅读4分钟

🚨 CVE‑2025‑53770 — SharePoint零日漏洞变种被用于实现完全远程代码执行

一个关键的零认证RCE漏洞出现在SharePoint中(CVE-2025–53770),目前已在野外被利用,该漏洞直接建立在欺骗漏洞CVE-2025–49706之上。

📌 摘要

CVE‑2025‑53770 是一个关键(CVSS 9.8)的、无需认证的Microsoft SharePoint远程代码执行漏洞,目前已在野外被主动利用。这不是一个独立的问题——它是CVE‑2025‑49706的一个变种,我之前分析过后者。但与需要认证的CVE-2025-49706不同,53770不需要任何认证。 这就是无需认证的代码执行,在正在进行的攻击中已出现真实的Web Shell部署和权限提升行为。请立即打补丁。

🔁 内容回顾

我之前分析了 CVE‑2025‑49706 —— SharePoint中的一个欺骗漏洞,它允许进行令牌操作、Web Shell上传以及从一个已认证的立足点进行横向移动。CVE‑2025‑53770 建立在相同的基础上,但完全跳过了登录步骤。

🧠 什么是 CVE‑2025‑53770?

  • 类型: 无需认证的远程代码执行(RCE)
  • 严重性: CVSS 9.8(严重)
  • 受影响的产品:
    • SharePoint Server 2016(未打补丁)
    • SharePoint Server 2019
    • SharePoint Server Subscription Edition

🔍 根本原因

根据微软的说法,这是CVE‑2025‑49706的一个变种,涉及对精心构造的身份验证令牌的不当处理——结合恶意的 __VIEWSTATE 载荷——从而导致代码在IIS工作进程(w3wp.exe)中直接执行。

⚔️ 真实世界攻击

🚨 ToolShell 攻击活动更新

攻击者正在组合利用:

  • CVE‑2025‑49704 (反序列化漏洞)
  • CVE‑2025‑49706 (伪造的请求头 + 认证绕过)
  • CVE‑2025‑53770 (无需认证的RCE) 并部署:
  • spinstall0.aspx Web Shell
  • SuspSignoutReq.exe 这样的载荷
  • w3wp.exe 下的持久化工具

🎯 受影响目标(基于MSRC报告):

  • 政府和教育部门
  • 本地部署的SharePoint门户
  • 任何在7月补丁发布前暴露在互联网上的SharePoint实例

🧪 简化的攻击流程:

  1. 📥 恶意请求被发送到易受攻击的端点(无需认证)
  2. 🧾 注入的 __VIEWSTATE 载荷或伪造的令牌绕过验证
  3. 💣 代码在IIS(w3wp.exe)中以 NT AUTHORITY\SYSTEM 权限执行
  4. 🐚 Web Shell被上传,建立远程访问
  5. 🛰️ 发起C2通信,开始横向移动

🛡️ 缓解与修补措施

✅ 立即打补丁

微软于2025年7月20日至21日发布了带外安全更新:

  • SharePoint 2019 ➝ KB5002741
  • SharePoint SE ➝ KB5002755
  • SharePoint 2016 补丁待发布——请尽快隔离服务器

✅ 系统加固

  • 在打补丁之前,禁用对SharePoint的外部访问。
  • 轮换机器密钥 / viewstate验证密钥。
  • 启用AMSI + Defender AV,并使用以下PowerShell标志: 
    Set-MpPreference -EnableControlledFolderAccess Enabled
Set-MpPreference -EnableScriptScanning $true

🔎 检测与威胁狩猎

  • IOC示例:
    • spinstall0.aspx
    • SuspSignoutReq.exe
    • POST载荷中大型编码的 __VIEWSTATE
    • 可疑的进程树:w3wp.execmd.exepowershell.exe
  • Defender KQL 狩猎查询: 
    DeviceFileEvents
| where FileName contains "spinstall0.aspx" or FolderPath contains "inetpub"
| where ActionType == "FileCreated"

🔗 与 CVE‑2025‑49706 的关联

微软已确认53770是49706的一个变种,现已被武器化为无需认证的RCE漏洞。

🧠 最终思考

这不仅仅是又一个CVE通告。CVE‑2025‑53770 是近期记忆中最危险的SharePoint漏洞之一。它建立在一个已经非常糟糕的欺骗漏洞(49706)之上,并消除了唯一的障碍——身份验证。 如果你正在运行本地SharePoint实例,并且自2025年7月初以来没有打过补丁,请假设已遭入侵并积极进行威胁狩猎

📚 参考资料

  • Microsoft 博客 — CVE-2025–53770
  • SecurityWeek 报道
  • 我的 CVE‑2025‑49706 分析
  • Wiz 威胁情报

👨‍💻 关于作者

我是一名专注于攻击性安全、漏洞分析和红队行动的网络安全从业者。我在TryHackMe上排名前2%,并发布了如KeySentry、ShadowHash和PixelPhantomX等安全工具。我持有CEH、Security+和印度理工学院坎普尔分校红队证书等认证,并定期为InfoSec WriteUps和其他安全平台撰稿。 CSD0tFqvECLokhw9aBeRqpNzLTXFlojmzFn6OlyTg9V4ZLVjktTcAg2Nby+L3WiH/rVq+lJ7nPxbweCKeDzXO5db+vnwYF3EWLJQAfa4F5mhxjTcVDEoanAim5+q1flpndxjhuupg8AYW+vJva4lXTzraQlwXoH/Ij9NJa6+83k=

avatar
文章
阅读
粉丝