美国网络安全与基础设施安全局(CISA)发布了一份恶意软件分析报告,针对"ToolShell"攻击提供了入侵指标和Sigma规则,该攻击专门针对特定版本的微软SharePoint服务器。
"网络威胁行为者将CVE-2025-49704和CVE-2025-49706漏洞串联(这个漏洞利用链被公开称为'ToolShell'),以获得对本地SharePoint服务器的未经授权访问,"该机构在报告公告中解释道。
CISA分析了六个文件,包括两个动态链接库(.DLL)文件、一个加密密钥窃取器和三个网络外壳程序。网络威胁行为者可以利用这些恶意软件窃取加密密钥,并执行Base64编码的PowerShell命令来获取主机系统指纹并外泄数据。
SharePoint服务器中的关键漏洞CVE-2025-53770被评为"严重"级别,CVSS评分为9.8分。该漏洞基于早期的"中等"严重程度漏洞CVE-2025-49706构建。微软以为已经在上个月修补了这个漏洞,但后来发现它作为零日漏洞被积极利用,攻击了一些知名目标。
该漏洞与其他漏洞链接形成了名为"Toolshell"的漏洞利用链,允许通过不可信数据反序列化进行远程代码执行。已知利用该漏洞的组织包括Linen Typhoon(又名Emissary Panda、APT27)、Violet Typhoon(又名Zirconium、Judgment Panda、APT31)和Storm-2603。
截至7月23日,受害者数量已超过400个,包括美国能源部(DOE)。美国能源部向《The Register》确认,其国家核安全管理局(NNSA)已因该漏洞遭到入侵,但声称"影响很小"。
攻击的时机让至少一名安全研究人员得出结论,认为该漏洞是在5月份作为Pwn2Own利用竞赛的一部分进行私下披露后被泄露的。趋势科技零日计划威胁感知负责人达斯汀·蔡尔兹上个月告诉我们:"这里某处发生了泄露。"
对于担心可能卷入所有这些SharePoint安全问题的用户,CISA的恶意软件分析报告可以提供一些保证。
除了CVE-2025-53770之外,该报告还涵盖了其他三个相关的SharePoint漏洞,这些漏洞用于形成"ToolShell"漏洞利用链,以及一个名为"SharpyShell"的"新型隐蔽网络外壳",它通过简单的GET请求提取和外泄加密秘密。最重要的是,报告附带了入侵指标和一套Sigma格式的检测规则,Sigma是用于检测和日志系统的跨供应商开源标准。
这些规则允许用户分析日志,寻找通过四个已知漏洞中任何一个进行利用的证据:CVE-2025-49704(CWE-94:代码注入);CVE-2025-49706(CWE-287:身份验证不当);CVE-2025-53770(CWE-502:可信数据反序列化);以及CVE-2025-53771(CWE-287:身份验证不当)。
但是,寻求实施这些规则的用户建议在部署前进行测试。CISA警告:"确保您的EDR/SIEM(端点检测与响应/安全信息与事件管理)实例有足够的内存来运行这些基于AND/OR条件的查询,这些查询可能比常规Sigma规则查询运行时间更长。"
完整报告以及入侵指标和Sigma规则可在CISA网站上获取。
Q&A
Q1:ToolShell攻击是什么?它如何影响SharePoint服务器?
A:ToolShell是一个漏洞利用链,网络威胁行为者将CVE-2025-49704和CVE-2025-49706漏洞串联,获得对本地SharePoint服务器的未经授权访问。攻击者可以利用这些恶意软件窃取加密密钥,执行PowerShell命令获取系统信息并外泄数据。
Q2:哪些组织使用了SharePoint漏洞进行攻击?
A:已知利用这些SharePoint漏洞的组织包括Linen Typhoon(又名Emissary Panda、APT27)、Violet Typhoon(又名Zirconium、Judgment Panda、APT31)和Storm-2603。这些都是知名的高级持续性威胁(APT)组织。
Q3:CISA发布的恶意软件分析报告包含什么内容?
A:CISA的报告分析了六个恶意文件,包括两个动态链接库文件、一个加密密钥窃取器和三个网络外壳程序。报告提供了入侵指标和Sigma格式的检测规则,帮助用户分析日志并检测四个相关漏洞的利用证据。
好文章,需要你的鼓励
微软宣布为Word和Excel推出基于OpenAI的AI代理模式,通过简单提示即可自动生成文档和分析数据。Word用户可享受"氛围写作"功能,利用现有文档组装报告和提案。Excel代理能分析电子表格数据并生成可视化报告。尽管在SpreadsheetBench基准测试中准确率仅为57.2%,低于人类平均水平71.3%,但微软强调其针对实际工作场景优化。此外,微软还发布了基于Anthropic的Office代理,显示其正逐步减少对OpenAI的依赖。
苹果与清华合作提出EpiCache技术,解决AI长期对话中的记忆管理难题。该方法将对话自动分割成话题片段,为每个话题建立专门记忆库,实现智能匹配和高效检索。实验显示,EpiCache比传统方法准确率提高40%,内存使用减少4-6倍,响应速度提升2.4倍,为资源受限环境下的AI对话系统提供了实用解决方案。
OpenAI为美国ChatGPT用户推出"即时结账"功能,用户可在对话中直接购买Etsy和Shopify商品,无需跳转至外部网站。该功能支持Apple Pay、Google Pay等多种支付方式,并计划接入超过100万家Shopify商户。OpenAI还将开源其代理商务协议技术,与谷歌的代理支付协议形成竞争。这标志着电商购物模式的重大转变,AI聊天机器人可能重塑在线零售发现和支付生态系统。
清华大学与英伟达合作提出DiffusionNFT,一种革命性的AI图像生成训练方法。该方法通过对比正负样本进行学习,避免了复杂的概率计算,训练效率比传统方法提升25倍。研究团队在多项测试中验证了其优越性,不仅大幅提升了图像质量和文字渲染能力,还实现了无需分类器引导的高效训练,为AI图像生成技术的普及和应用奠定了重要基础。