美国网络安全与基础设施安全局(CISA)发布了一份恶意软件分析报告,针对"ToolShell"攻击提供了入侵指标和Sigma规则,该攻击专门针对特定版本的微软SharePoint服务器。
"网络威胁行为者将CVE-2025-49704和CVE-2025-49706漏洞串联(这个漏洞利用链被公开称为'ToolShell'),以获得对本地SharePoint服务器的未经授权访问,"该机构在报告公告中解释道。
CISA分析了六个文件,包括两个动态链接库(.DLL)文件、一个加密密钥窃取器和三个网络外壳程序。网络威胁行为者可以利用这些恶意软件窃取加密密钥,并执行Base64编码的PowerShell命令来获取主机系统指纹并外泄数据。
SharePoint服务器中的关键漏洞CVE-2025-53770被评为"严重"级别,CVSS评分为9.8分。该漏洞基于早期的"中等"严重程度漏洞CVE-2025-49706构建。微软以为已经在上个月修补了这个漏洞,但后来发现它作为零日漏洞被积极利用,攻击了一些知名目标。
该漏洞与其他漏洞链接形成了名为"Toolshell"的漏洞利用链,允许通过不可信数据反序列化进行远程代码执行。已知利用该漏洞的组织包括Linen Typhoon(又名Emissary Panda、APT27)、Violet Typhoon(又名Zirconium、Judgment Panda、APT31)和Storm-2603。
截至7月23日,受害者数量已超过400个,包括美国能源部(DOE)。美国能源部向《The Register》确认,其国家核安全管理局(NNSA)已因该漏洞遭到入侵,但声称"影响很小"。
攻击的时机让至少一名安全研究人员得出结论,认为该漏洞是在5月份作为Pwn2Own利用竞赛的一部分进行私下披露后被泄露的。趋势科技零日计划威胁感知负责人达斯汀·蔡尔兹上个月告诉我们:"这里某处发生了泄露。"
对于担心可能卷入所有这些SharePoint安全问题的用户,CISA的恶意软件分析报告可以提供一些保证。
除了CVE-2025-53770之外,该报告还涵盖了其他三个相关的SharePoint漏洞,这些漏洞用于形成"ToolShell"漏洞利用链,以及一个名为"SharpyShell"的"新型隐蔽网络外壳",它通过简单的GET请求提取和外泄加密秘密。最重要的是,报告附带了入侵指标和一套Sigma格式的检测规则,Sigma是用于检测和日志系统的跨供应商开源标准。
这些规则允许用户分析日志,寻找通过四个已知漏洞中任何一个进行利用的证据:CVE-2025-49704(CWE-94:代码注入);CVE-2025-49706(CWE-287:身份验证不当);CVE-2025-53770(CWE-502:可信数据反序列化);以及CVE-2025-53771(CWE-287:身份验证不当)。
但是,寻求实施这些规则的用户建议在部署前进行测试。CISA警告:"确保您的EDR/SIEM(端点检测与响应/安全信息与事件管理)实例有足够的内存来运行这些基于AND/OR条件的查询,这些查询可能比常规Sigma规则查询运行时间更长。"
完整报告以及入侵指标和Sigma规则可在CISA网站上获取。
Q&A
Q1:ToolShell攻击是什么?它如何影响SharePoint服务器?
A:ToolShell是一个漏洞利用链,网络威胁行为者将CVE-2025-49704和CVE-2025-49706漏洞串联,获得对本地SharePoint服务器的未经授权访问。攻击者可以利用这些恶意软件窃取加密密钥,执行PowerShell命令获取系统信息并外泄数据。
Q2:哪些组织使用了SharePoint漏洞进行攻击?
A:已知利用这些SharePoint漏洞的组织包括Linen Typhoon(又名Emissary Panda、APT27)、Violet Typhoon(又名Zirconium、Judgment Panda、APT31)和Storm-2603。这些都是知名的高级持续性威胁(APT)组织。
Q3:CISA发布的恶意软件分析报告包含什么内容?
A:CISA的报告分析了六个恶意文件,包括两个动态链接库文件、一个加密密钥窃取器和三个网络外壳程序。报告提供了入侵指标和Sigma格式的检测规则,帮助用户分析日志并检测四个相关漏洞的利用证据。
好文章,需要你的鼓励
本文探讨如何使用生成式AI和大语言模型作为倾听者,帮助用户表达内心想法。许多主流AI如ChatGPT、Claude等被设计成用户的"最佳伙伴",或试图提供心理健康建议,但有时用户只想要一个尊重的倾听者。文章提供了有效的提示词技巧,指导AI保持中性、尊重的态度,专注于倾听和理解,而非给出建议或判断。同时提醒用户注意隐私保护和AI的局限性。
北京大学团队开发出WoW世界模型,这是首个真正理解物理规律的AI系统。通过200万机器人互动数据训练,WoW不仅能生成逼真视频,更能理解重力、碰撞等物理定律。其创新的SOPHIA框架让AI具备自我纠错能力,在物理理解测试中达到80.16%准确率。该技术将推动智能机器人、视频制作等领域发展,为通用人工智能奠定重要基础。
人工通用智能和超级人工智能的出现,可能会创造出一种全新的外星智能形态。传统AI基于人类智能模式构建,但AGI和ASI一旦存在,可能会选择创造完全不同于人类认知方式的新型智能。这种外星人工智能既可能带来突破性进展,如找到癌症治愈方法,也可能存在未知风险。目前尚不确定这种新智能形态是否会超越人类智能,以及我们是否应该追求这一可能改变人类命运的技术突破。
香港大学和蚂蚁集团联合推出PromptCoT 2.0,这是一种让AI自动生成高质量训练题目的创新方法。通过"概念-思路-题目"的三步策略,AI能像老师备课一样先构思解题思路再出题,大幅提升了题目质量和训练效果。实验显示该方法在数学竞赛和编程任务上都取得了显著提升,为解决AI训练数据稀缺问题提供了新思路。