此内容已使用自动机器翻译服务进行翻译,仅供您参考及阅读便利。其中可能包含错误、遗漏,或与原始英文版本存在理解方面的细微差别。如有疑问,请参考原始英文版本。
2025 年 7 月 19 日,Microsoft 披露了一个关键的 zero-day 远程代码执行 (RCE) 漏洞 CVE-2025-53770。CVSS 3.1 基本评分为 9.8(严重),该漏洞影响 SharePoint Server 2016、2019 和订阅版,以及不受支持的 2010 和 2013 版本。Cloudflare 的 WAF 托管规则现在包括 2 个紧急版本,可为 WAF 客户缓解这些漏洞。
解构 CVE-2025-53770
该漏洞的根本原因是不受信任数据的不当反序列化,这允许未经身份验证的远程攻击者在没有任何用户交互的情况下通过网络执行任意代码。此外,CVE-2025-53770 的独特威胁在于其方法,即漏洞利用链,标记为“ToolShell”。ToolShell 的设计是为了进行长期游戏:攻击者不仅获得临时访问权限,而且还能获得服务器的加密机器密钥,特别是 ValidationKey
和 DecryptionKey
。拥有这些密钥允许威胁行为者独立伪造身份验证令牌和 __VIEWSTATE
恶意有效负载,从而授予他们持久的访问权限,从而能够在标准的缓解策略(例如服务器重启或移除 Web shell)中继续存在。
鉴于这些攻击的活跃性质,美国网络安全和基础设施安全局 (CISA) 将 CVE-2025-53770 加入其已知被利用漏洞 (KEV) 目录,并规定了紧急补救期限。安全社区的共识很明确:任何在互联网上拥有本地 SharePoint 服务器的组织都应假定该服务器已遭到入侵,并立即采取行动,以完全解决这一漏洞。
自从在 Cloudflare 的 WAF Managed Ruleset 中发布漏洞补丁以来,我们一直在跟踪与该漏洞匹配的 HTTP 请求数量,如下图所示。值得注意的是,我们在协调世界时 7 月 22 日上午 11 点左右观察到一个显着的峰值,有一个时间点的点击量约为 30 万次。
ToolShell 利用链如何运作?
ToolShell 漏洞利用链在 2025 年 5 月的 Pwn2Own 黑客竞赛 上首次展示,当时研究人员将一个身份验证绕过 (CVE-2025-49706) 与一个反序列化 RCE (CVE-2025-49704) 链接起来。不幸的是,这并不是 ToolShell 生命的终点。显然,威胁行为者分析了这些补丁,以发现漏洞并立即加以利用,迫使 Microsoft 分配新的标识符,并针对身份验证绕过调用 CVE-2025-53771。这种漏洞利用 → 补丁 → 绕过的快速循环表明,威胁行为者不仅是在发现漏洞,还会系统地对补丁进行逆向工程,将绕过手段武器化。对于响应人员来说,这关闭了 — 或将其完全隐藏 — 来进行响应和防御,从而凸显了采取不断发展、主动安全态势的必要性。
ToolShell 漏洞利用分为 3 个阶段:
绕过身份验证,利用 CVE-2025-53771 :攻击首先向
/_layouts/15/ToolPane.aspx
端点发送POST
请求,后者是 SharePoint 的旧版组件。这种身份验证绕过的关键通过将Referer
标头设置为/_layouts/Sign Out.aspx
来发生,从而诱使 SharePoint 服务器信任攻击者。有了信任,攻击者就能够跳过身份验证检查,并进行身份验证访问。通过反序列化实现远程代码执行,CVE-2025-53770:凭借访问权限,攻击者可以与
ToolPane.aspx
端点进行交互。攻击者在POST
请求正文中提交恶意有效负载,触发核心漏洞:一个反序列化缺陷,其中 SharePoint 应用程序将对象反序列化为服务器上的可执行代码。此时,攻击者可以随心所欲地执行命令。长期游戏:拥有加密密钥: 最后,为了进行长期游戏并维持持续访问,攻击者将使用特定的 Web Shell 来窃取服务器的加密机器密钥。通过取得
ValidationKey
和DecryptionKey
,攻击者可以获取 SharePoint 使用的状态信息。掌握了这些密钥的攻击者就能在原始漏洞利用很久之后独立运作;这意味着他们可以继续在被利用的服务器上执行新的恶意有效负载。由于是永久性的后门程序,这种攻击方法尤其危险。
Cloudflare 针对 CVE-2025-53770 和 CVE-2025-53771 的新 WAF 托管规则
CVE-2025-53770 是现代网络威胁的两面性的一个明显示例,其既具有初始入侵向量,也有长期持续机制。这意味着,成功的防御将同时解决直接的 RCE 漏洞和后续的不受欢迎访问威胁。
一旦公开概念验证可用,Cloudflare 的安全分析师制作并测试了新的补丁,确保它们不仅能应对初始攻击,还能缓解长期威胁。
团队于 7 月 20 日晚上开始研究这一漏洞。在 2025 年 7 月 21 日,Cloudflare 部署了我们的紧急 WAF 托管规则来打上补丁以修补该漏洞,这意味着使用 Cloudflare 托管规则集的每一个客户将自动获得免受这一严重 SharePoint 漏洞的影响。这些规则已在WAF 变更日志中公布,并将立即生效。