微软 SharePoint 五重漏洞剖析：ToolShell 攻击链技术内幕

漏洞背景

2025 年 7 月 18 日起，全球多国 SharePoint 服务器遭受无认证要求的 RCE 攻击。攻击链包含两个核心漏洞：CVE-2025-49704（反序列化漏洞）和 CVE-2025-49706（认证绕过漏洞），统称"ToolShell"。微软随后紧急发布 CVE-2025-53770/53771 补丁修复补丁绕过问题。

攻击技术剖析

漏洞利用链

1. CVE-2025-49706 认证绕过

• 存在于PostAuthenticateRequestHandler方法（Microsoft.SharePoint.dll）

• 当 HTTP 请求头Referrer包含/_layouts/[14|15]/SignOut.aspx时触发逻辑缺陷

• 绕过关键认证检查条件：flag6=false且flag7=true
  

2. CVE-2025-53771 补丁绕过

• 初始补丁通过检查路径是否以ToolPane.aspx结尾

• 绕过方法：在路径末尾添加/字符（如ToolPane.aspx/）

3. CVE-2025-49704 反序列化漏洞

• 通过/_layouts/15/ToolPane.aspx端点传递恶意 WebPart 标记

• 利用ExcelDataSet控件的CompressedDataTable属性注入恶意 DataSet

• 通过ExpandedWrapper技术绕过 XML 类型校验（将危险对象置于 List 中）

4. CVE-2025-53770 根本修复

• 更新XmlValidator实现严格的类型校验

• 修复需手动运行 SharePoint 配置升级向导的安全缺陷

技术对抗时间线

防御建议

1. 立即安装 2025 年 7 月 20 日安全更新

2. 手动执行 SharePoint 配置升级（即使已安装早期补丁）

3. 启用行为检测解决方案（如 Kaspersky Next）

4. 监控以下 IoC：

5. HTTP 请求特征：Referrer: /_layouts/15/SignOut.aspx
   

6. 恶意 WebPart 标记包含ExcelDataSet控件声明

7. 异常反序列化操作日志

长期影响评估

该漏洞链具有以下特点：

• 利用复杂度低（单 HTTP 请求即可完成攻击）

• 攻击面广（全球约 43%企业使用受影响 SharePoint 版本）

• 残余风险高（类似 ProxyLogon 的长期利用预期）

更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手