全球黑客活動正在利用微軟本地SharePoint軟件中關鍵的零日缺陷(CVE-2025-53770),並且攻擊從間諜活動升級為勒索軟件。 First detected around July 7, the breach has impacted over 400 organizations, including the U.S.國土安全部。
攻擊者竊取了加密服務器密鑰以獲得持久控制。微軟於7月21日發布了緊急補丁,並敦促客戶立即更新。使用現在可用的公共利用,廣泛的威脅,對未捕獲的系統的自動攻擊迅速增長。
Microsoft和Google的Mandiant將初始攻擊歸因於多個中國國家贊助的威脅參與者。在一份詳細報告中,Microsoft ,作為主要的罪魁禍首。 Mandiant Consulting的首席技術官Charles Carmakal表示:“我們評估至少有一位負責這種早期剝削的參與者是中國尼克斯威脅行為者,”並補充說,情況正在迅速發展。這種歸因增加了一個重大的地緣政治維度,這與以前的Microsoft產品的主要黑客攻擊也歸咎於中國。
中國政府堅定地否認了這些指控。在一份聲明中,中國外交部發言人郭賈昆(Guo Jiakun)說:“中國反對並根據法律進行了黑客攻擊活動。與此同時,我們反對在網絡安全問題的藉口上對中國的塗片和攻擊,”推動了Microsoft和Microsoft和美國官員的索賠。旁路
被稱為“工具殼”的脆弱性是“補丁旁路”的經典示例。安全研究人員認為,攻擊者使用“補丁差異”來分析Microsoft的7月安全更新,該更新
攻擊本身危險地隱身。攻擊者沒有部署典型的網絡殼,而是將一個小腳本播種到 exfiltrate服務器的加密計算機鍵。該方法提供了更加持久和危險的訪問形式。正如Eye Security的研究團隊警告說:“這些鑰匙允許攻擊者模仿用戶或服務,即使在服務器進行修補後也可以。因此,僅修補問題就無法解決問題。 ”
這使得修復是一個複雜的兩步過程。簡單地應用新補丁是不足以驅逐已經違反服務器的攻擊者。組織還必須旋轉其ASP.NET機器鍵,以使被盜的憑據無效,。
這種升級顯著提高了未解決的組織的賭注,將威脅從數據盜竊轉移到了操作癱瘓。概念證明在GitHub上的利用可利用進一步的攻擊,使攻擊可被不那麼複雜的網絡犯罪分子所訪問。
Microsoft and CISA Scramble to Contain the Fallout
The severity of the threat prompted a swift response from both Microsoft and U.S. authorities.在最初提供緩解指導之後,微軟於7月21日發布了所有受影響的SharePoint版本的緊急情況外安全更新。該公司的威脅情報部門警告說:“這些漏洞的迅速採用,微軟評估了威脅性高度信心,威脅性參與者將繼續將其納入對未挑戰的機構的攻擊中,將它們整合到美國的SharePoint Sharepoint and Sharepoint。 (cisa)。該機構發布了一項具有約束力的指令,命令所有聯邦民用機構運用Microsoft的補丁和補救步驟。
在其警報中,CISA解釋了危險,並指出:“這種剝削活動,公開報導為“工具殼”,“工具旋轉”,對系統的訪問並啟用了不可行的訪問權限,並可以訪問Shareports Codecoint和Execterecoint Contect and Exectect and Exectect and Execorte’和Execort of Exectect Innetworce”和Execoint””和Execoint”””’違反國土安全部和
