美國網絡安全和基礎設施防禦局 (CISA) 在 7 月 20 日的報告中宣布,黑客正在攻擊本地 Microsoft SharePoint 服務器漏洞。
You might also like
組織使用SharePoint服務器來創建私有內部網服務,用於構建網站、管理文檔共享以及支持公司內部的其他協作工作。CISA 表示:“這種利用活動被公開報告為‘ToolShell’,它提供未經身份驗證的系統訪問,並使惡意行為者能夠完全訪問 SharePoint 內容,包括文件系統和內部配置,並通過網絡執行代碼。”並補充說,正在評估新的遠程代碼執行 (RCE) 攻擊的範圍和影響。
微軟已於前一天承認了這一問題。在 7 月 19 日的指導報告中,該公司表示,此次漏洞攻擊僅針對 SharePoint 服務器。Microsoft 365 中基於雲的 SharePoint Online 是另一個系統,不受影響。
據該公司稱,整個 SharePoint 套件已被全球超過 200,000 個組織和 1.9 億人使用。微軟表示,7 月份的安全更新僅部分修復了現有漏洞。新的安全更新已發布,可以全面保護使用 SharePoint訂閱版和SharePoint 2019 的客戶。
建議客戶立即應用系統更新以確保安全。SharePoint 2016 用戶的安全更新尚未發布。
微軟發布了一系列客戶可以緩解攻擊的方法。這些方法包括安裝最新的安全更新、使用受支持的本地 SharePoint Server 版本、確保反惡意軟件掃描接口已打開並與防病毒解決方案正確配置、部署 Microsoft Defender for Endpoint Protection 等服務以及輪換 SharePoint Server ASP.NET 機器密鑰。
有關高級狩獵技術和其他緩解措施的更多技術細節請參閱微軟網站。
CISA 建議
為了降低與 RCE 漏洞利用相關的風險,CISA 為各組織機構提出了幾項建議。它重申了微軟關於在所有服務器上激活反惡意軟件掃描接口 (AMSI) 和 MS Defender 的指導。如果無法立即部署 AMSI,該機構建議公司斷開所有受影響產品與互聯網的連接,並在威脅減輕後才重新連接。
CISA 要求公司遵循BOD 22-01指導協議以降低風險。
對於檢測和高級威脅搜尋措施,要求組織遵循微軟針對服務器欺騙漏洞或 CVE-2025-49706 的建議,該建議於 7 月 8 日發布,並於 7 月 20 日添加到 CISA 的漏洞利用目錄中。
公司應該更新入侵防禦系統和 Web 應用程序防火牆規則,以阻止漏洞模式和異常行為,並實施全面日誌記錄以識別漏洞活動。
最後,CISA 建議審核並盡量減少布局和管理員權限。
如果惡意行為者獲得訪問權限或公司檢測到其服務器中存在異常活動,則應將此類事件報告給 CISA 的 24/7 運營中心(地址為 Report@cisa.gov 或電話為 (888) 282-0870)。
近年來,隨着雲平台和相關技術的日益普及,針對構建在雲基礎設施上的身份和身份驗證系統的複雜威脅活動也相應增加。
CISA 在 7 月 15 日的一份聲明中表示:“隨着雲基礎設施變得越來越普遍——支撐着政府和關鍵基礎設施數據——複雜的民族國家附屬行為者已經暴露出令牌認證、密鑰管理、日誌記錄機制、第三方依賴和治理實踐方面的局限性。 ”
為了應對這些威脅,CISA 呼籲加強公私合作夥伴關係,以保護雲基礎設施。
中共統治人民的最重要手段就是欺騙。維持大面積的對華廣播不斷傳遞真相,就是持續地給中國注入希望。希望之聲誠邀您和我們一起攜手努力。歡迎點擊了解詳情。
