SharePoint 高危零日漏洞 (CVE‑2025‑53770) 遭利用，实现无需认证的远程代码执行

🚨 CVE‑2025‑53770 — SharePoint零日漏洞变种遭利用，实现完全RCE

一个关键的无需认证的SharePoint远程代码执行漏洞（CVE-2025–53770）现已在野外被利用，它直接建立在欺骗漏洞CVE-2025–49706之上。

作者：Aditya Bhatt | 3分钟阅读 · 2025年7月22日

从 CVE‑2025‑49706 的严重升级

作者：Aditya Bhatt — 红队 | 渗透测试与漏洞评估

📌 内容提要

CVE‑2025‑53770 是微软SharePoint中的一个关键漏洞，CVSS评分9.8，无需身份验证即可实现远程代码执行，目前已在野外被主动利用。这不是一个独立问题，而是CVE‑2025‑49706 的一个变种。但是，CVE-2025-49706需要身份验证，而53770则不需要。

这是无需认证的代码执行，在正在发生的攻击中已出现真实的Web Shell投递和权限提升行为。请立即修补。

🔁 背景回顾

我之前分析了 CVE‑2025‑49706 —— SharePoint中的一个欺骗漏洞，允许令牌操作、Web Shell上传以及在获得认证立足点后的横向移动。

CVE‑2025‑53770 建立在相同的基础上，但完全跳过了登录步骤。

🧠 什么是 CVE‑2025‑53770？

• 类型： 无需认证的远程代码执行
• 严重性： CVSS 9.8
• 受影响产品：
  • SharePoint Server 2016
  • SharePoint Server 2019
  • SharePoint Server 订阅版

🔍 根本原因

根据微软的说法，这是CVE‑2025‑49706的一个变种，涉及对特制的身份验证令牌处理不当——结合恶意的__VIEWSTATE有效载荷——导致直接在IIS工作进程中执行代码。

⚔️ 真实世界攻击

🚨 ToolShell 攻击活动更新：

攻击者正在组合利用：

• CVE‑2025‑49704
• CVE‑2025‑49706
• CVE‑2025‑53770 并投递：
• spinstall0.aspx Web Shell
• SuspSignoutReq.exe 等有效载荷
• 在 w3wp.exe 下的持久化工具

🎯 受影响目标

• 政府和教育部门
• 本地部署的SharePoint门户
• 任何未在2025年7月打补丁且暴露在互联网上的SharePoint实例

🧪 攻击流程

1. 恶意请求发送到易受攻击的端点
2. 注入的__VIEWSTATE有效载荷或伪造的令牌绕过验证
3. 代码在IIS中以NT AUTHORITY\SYSTEM权限执行
4. Web Shell被上传，建立远程访问
5. 启动C2通信，开始横向移动

🛡️ 缓解与修补

✅ 立即打补丁

微软已于2025年7月20-21日发布了带外安全更新：

• SharePoint 2019 ➝ KB5002741
• SharePoint SE ➝ KB5002755
• SharePoint 2016 补丁待定——请尽快隔离服务器

✅ 系统加固

• 打补丁前，禁用对SharePoint的外部访问Set-MpPreference -EnableControlledFolderAccess Enabled Set-MpPreference -EnableScriptScanning $true
• 轮换机器密钥 / viewstate验证密钥
• 启用AMSI + Defender AV，并设置PowerShell标志：

🔎 检测与威胁狩猎

IOC示例：

• spinstall0.aspx
• SuspSignoutReq.exe
• POST载荷中出现大型编码的__VIEWSTATE
• 可疑的进程树：w3wp.exe → cmd.exe → powershell.exe

Defender KQL 狩猎查询示例：

DeviceFileEvents
| where FileName contains "spinstall0.aspx" or FolderPath contains "inetpub"
| where ActionType == "FileCreated"

🔗 与 CVE‑2025‑49706 的关联

微软已确认53770是49706的变种，现已武器化为无需认证的RCE。

🧠 最终思考

这不仅仅是又一个CVE发布。CVE‑2025‑53770是近期记忆中最为危险的SharePoint漏洞之一。它建立在一个已经很糟糕的欺骗漏洞之上，并消除了唯一的屏障——身份验证。

如果你正在运行本地SharePoint实例，并且自2025年7月初以来尚未打补丁，请假设已经失陷，并积极进行威胁狩猎。

📚 参考资料

• 微软博客 — CVE-2025–53770
• SecurityWeek 报道
• 我对 CVE‑2025‑49706 的分析
• Wiz 威胁情报

👨‍💻 关于作者

我是一名专注于攻击性安全、漏洞分析和红队行动的网络安全从业者。我在TryHackMe上排名前2%，并发布了KeySentry、ShadowHash和PixelPhantomX等安全工具。我持有CEH、Security+和IIT Kanpur红队证书等认证，并定期为InfoSec WriteUps和其他安全平台撰稿。

CSD0tFqvECLokhw9aBeRqpNzLTXFlojmzFn6OlyTg9V4ZLVjktTcAg2Nby+L3WiH/rVq+lJ7nPxbweCKeDzXO5db+vnwYF3EWLJQAfa4F5mhxjTcVDEoanAim5+q1flpndxjhuupg8AYW+vJva4lXTzraQlwXoH/Ij9NJa6+83k=