卡巴斯基揭示SharePoint ToolShell漏洞源於2020年修補不完全

卡巴斯基全球研究與分析小組（GReAT）發現，近期在Microsoft SharePoint中被利用的ToolShell漏洞，其根本原因是2020年對CVE-2020-1147漏洞的修補不完全所致。

2025年，這些SharePoint漏洞在被積極利用後，已成為重大的網路安全威脅。根據卡巴斯基安全網路（Kaspersky Security Network）的資料顯示，全球多地出現攻擊嘗試，包括埃及、約旦、俄羅斯、越南和尚比亞。這些攻擊針對政府、金融、製造業、林業與農業等領域的組織。卡巴斯基的解決方案在這些漏洞公開前即主動偵測並攔截ToolShell攻擊。

卡巴斯基GReAT的研究人員分析已公開的ToolShell利用程式後，發現其與2020年的CVE-2020-1147漏洞利用手法極為相似。這表明新發佈的CVE-2025-53770修補，才是對5年前CVE-2020-1147所試圖修復問題的真正有效修補。

在CVE-2025-49704和CVE-2025-49706兩個漏洞於7月8日被修補後，研究人員發現這些修補可被簡單地透過在攻擊程式中加入一個斜線「/」就繞過。微軟得知這些漏洞已被積極利用後，迅速釋出更完整的修補，並針對繞過技術進行修正，將這些漏洞分別命名為CVE-2025-53770和CVE-2025-53771。全球針對 SharePoint伺服器的攻擊浪潮正是在首次利用與最終修補部署之間的這段期間迅速升溫。

儘管目前已針對ToolShell漏洞釋出修補程式，卡巴斯基預期攻擊者未來數年仍會持續利用這個漏洞鏈。卡巴斯基GReAT首席安全研究員Boris Larin表示，許多重大漏洞在發現多年後仍被積極利用，例如 ProxyLogon、PrintNightmare和EternalBlue等，目前仍會危害未修補的系統。

預期ToolShell也會走上相同的道路：由於其利用方式簡單，公開的利用程式很快就會出現在各大滲透測試工具中，確保攻擊者能長期使用它。

為了保障安全，卡巴斯基提出以下建議：所有使用 Microsoft SharePoint 的組織必須立即安裝最新安全修補。 對於所有高風險漏洞，即使是短暫暴露也可能導致系統遭到入侵。部署能防禦零時差漏洞的資安解決方案，尤其是在修補尚未發布的情況下。卡巴斯基 Next 內建的行為偵測功能，可主動封鎖此類漏洞的利用行為。