美国网络安全与基础设施安全局(CISA)发布了一份恶意软件分析报告,针对"ToolShell"攻击提供了入侵指标和Sigma规则,该攻击专门针对特定版本的微软SharePoint服务器。
"网络威胁行为者将CVE-2025-49704和CVE-2025-49706漏洞串联(这个漏洞利用链被公开称为'ToolShell'),以获得对本地SharePoint服务器的未经授权访问,"该机构在报告公告中解释道。
CISA分析了六个文件,包括两个动态链接库(.DLL)文件、一个加密密钥窃取器和三个网络外壳程序。网络威胁行为者可以利用这些恶意软件窃取加密密钥,并执行Base64编码的PowerShell命令来获取主机系统指纹并外泄数据。
SharePoint服务器中的关键漏洞CVE-2025-53770被评为"严重"级别,CVSS评分为9.8分。该漏洞基于早期的"中等"严重程度漏洞CVE-2025-49706构建。微软以为已经在上个月修补了这个漏洞,但后来发现它作为零日漏洞被积极利用,攻击了一些知名目标。
该漏洞与其他漏洞链接形成了名为"Toolshell"的漏洞利用链,允许通过不可信数据反序列化进行远程代码执行。已知利用该漏洞的组织包括Linen Typhoon(又名Emissary Panda、APT27)、Violet Typhoon(又名Zirconium、Judgment Panda、APT31)和Storm-2603。
截至7月23日,受害者数量已超过400个,包括美国能源部(DOE)。美国能源部向《The Register》确认,其国家核安全管理局(NNSA)已因该漏洞遭到入侵,但声称"影响很小"。
攻击的时机让至少一名安全研究人员得出结论,认为该漏洞是在5月份作为Pwn2Own利用竞赛的一部分进行私下披露后被泄露的。趋势科技零日计划威胁感知负责人达斯汀·蔡尔兹上个月告诉我们:"这里某处发生了泄露。"
对于担心可能卷入所有这些SharePoint安全问题的用户,CISA的恶意软件分析报告可以提供一些保证。
除了CVE-2025-53770之外,该报告还涵盖了其他三个相关的SharePoint漏洞,这些漏洞用于形成"ToolShell"漏洞利用链,以及一个名为"SharpyShell"的"新型隐蔽网络外壳",它通过简单的GET请求提取和外泄加密秘密。最重要的是,报告附带了入侵指标和一套Sigma格式的检测规则,Sigma是用于检测和日志系统的跨供应商开源标准。
这些规则允许用户分析日志,寻找通过四个已知漏洞中任何一个进行利用的证据:CVE-2025-49704(CWE-94:代码注入);CVE-2025-49706(CWE-287:身份验证不当);CVE-2025-53770(CWE-502:可信数据反序列化);以及CVE-2025-53771(CWE-287:身份验证不当)。
但是,寻求实施这些规则的用户建议在部署前进行测试。CISA警告:"确保您的EDR/SIEM(端点检测与响应/安全信息与事件管理)实例有足够的内存来运行这些基于AND/OR条件的查询,这些查询可能比常规Sigma规则查询运行时间更长。"
完整报告以及入侵指标和Sigma规则可在CISA网站上获取。
Q&A
Q1:ToolShell攻击是什么?它如何影响SharePoint服务器?
A:ToolShell是一个漏洞利用链,网络威胁行为者将CVE-2025-49704和CVE-2025-49706漏洞串联,获得对本地SharePoint服务器的未经授权访问。攻击者可以利用这些恶意软件窃取加密密钥,执行PowerShell命令获取系统信息并外泄数据。
Q2:哪些组织使用了SharePoint漏洞进行攻击?
A:已知利用这些SharePoint漏洞的组织包括Linen Typhoon(又名Emissary Panda、APT27)、Violet Typhoon(又名Zirconium、Judgment Panda、APT31)和Storm-2603。这些都是知名的高级持续性威胁(APT)组织。
Q3:CISA发布的恶意软件分析报告包含什么内容?
A:CISA的报告分析了六个恶意文件,包括两个动态链接库文件、一个加密密钥窃取器和三个网络外壳程序。报告提供了入侵指标和Sigma格式的检测规则,帮助用户分析日志并检测四个相关漏洞的利用证据。
好文章,需要你的鼓励
数据分析平台公司Databricks完成10亿美元K轮融资,公司估值超过1000亿美元,累计融资总额超过200亿美元。公司第二季度收入运营率达到40亿美元,同比增长50%,AI产品收入运营率超过10亿美元。超过650家客户年消费超过100万美元,净收入留存率超过140%。资金将用于扩展Agent Bricks和Lakebase业务及全球扩张。
Meta与特拉维夫大学联合研发的VideoJAM技术,通过让AI同时学习外观和运动信息,显著解决了当前视频生成模型中动作不连贯、违反物理定律的核心问题。该技术仅需添加两个线性层就能大幅提升运动质量,在多项测试中超越包括Sora在内的商业模型,为AI视频生成的实用化应用奠定了重要基础。
医疗信息管理平台Predoc宣布获得3000万美元新融资,用于扩大运营规模并在肿瘤科、研究网络和虚拟医疗提供商中推广应用。该公司成立于2022年,利用人工智能技术提供端到端平台服务,自动化病历检索并整合为可操作的临床洞察。平台可实现病历检索速度提升75%,临床审查时间减少70%,旨在增强而非替代临床判断。
上海AI实验室发布OmniAlign-V研究,首次系统性解决多模态大语言模型人性化对话问题。该研究创建了包含20万高质量样本的训练数据集和MM-AlignBench评测基准,通过创新的数据生成和质量管控方法,让AI在保持技术能力的同时显著提升人性化交互水平,为AI价值观对齐提供了可行技术路径。