卡巴斯基揭示SharePoint ToolShell漏洞源于2020年修补不完全

卡巴斯基全球研究与分析小组（GReAT）发现，近期在Microsoft SharePoint中被利用的ToolShell漏洞，其根本原因是2020年对CVE-2020-1147漏洞的修补不完全所致。

2025年，这些SharePoint漏洞在被积极利用后，已成为重大的网络安全威胁。根据卡巴斯基安全网络（Kaspersky Security Network）的数据显示，全球多地出现攻击尝试，包括埃及、约旦、俄罗斯、越南和赞比亚。这些攻击针对政府、金融、制造业、林业与农业等领域的组织。卡巴斯基的解决方案在这些漏洞公开前即主动侦测并拦截ToolShell攻击。

卡巴斯基GReAT的研究人员分析已公开的ToolShell利用程序后，发现其与2020年的CVE-2020-1147漏洞利用手法极为相似。这表明新发布的CVE-2025-53770修补，才是对5年前CVE-2020-1147所试图修复问题的真正有效修补。

在CVE-2025-49704和CVE-2025-49706两个漏洞于7月8日被修补后，研究人员发现这些修补可被简单地透过在攻击程序中加入一个斜线「/」就绕过。微软得知这些漏洞已被积极利用后，迅速释出更完整的修补，并针对绕过技术进行修正，将这些漏洞分别命名为CVE-2025-53770和CVE-2025-53771。全球针对 SharePoint服务器的攻击浪潮正是在首次利用与最终修补部署之间的这段期间迅速升温。

尽管目前已针对ToolShell漏洞释出修补程序，卡巴斯基预期攻击者未来数年仍会持续利用这个漏洞链。卡巴斯基GReAT首席安全研究员Boris Larin表示，许多重大漏洞在发现多年后仍被积极利用，例如 ProxyLogon、PrintNightmare和EternalBlue等，目前仍会危害未修补的系统。

预期ToolShell也会走上相同的道路：由于其利用方式简单，公开的利用程序很快就会出现在各大渗透测试工具中，确保攻击者能长期使用它。

为了保障安全，卡巴斯基提出以下建议：所有使用 Microsoft SharePoint 的组织必须立即安装最新安全修补。 对于所有高风险漏洞，即使是短暂暴露也可能导致系统遭到入侵。部署能防御零时差漏洞的网安解决方案，尤其是在修补尚未发布的情况下。卡巴斯基 Next 内建的行为侦测功能，可主动封锁此类漏洞的利用行为。