Tenable 提醒, SharePoint 中的网络事件 可以在未经身份验证的情况下引发访问

世界各地的数千台Microsoft SharePoint 服务器被报道为上周末发生的大规模网络安全事件的积极利用目标。

最初的报告来自Eye Security研究小组于7月19日,该研究小组发现,以前与ToolShell名称的工具联系起来的 SharePoint 上存在两个安全漏洞的漏洞。

名为CVE-2025-53770的漏洞利用器已成功从脆弱的 SharePoint 服务器暴露 MachineKey配置的详细信息,最终允许在未经身份验证的情况下远程执行代码。

针对这一事件,Tenable的工作人员研究工程师Satnam Narang博士表示,周末积极利用空白零日漏洞将对受影响的组织产生广泛影响。

据他介绍,攻击者已经设法利用了安全漏洞,该漏洞现在被确定为CVE-2025-53770,从脆弱的 SharePoint 服务器中窃取了 MachineKey配置的详细信息,其中包括验证Key和解密Key。

他强调,被盗的配置信息可用于形成恶意请求,允许未经身份验证的遥控码执行(RCE),这对公共和私营组织来说是一个非常危险的漏洞。

“攻击者可以使用此详细信息来创建特殊请求,这些请求可用于在未经身份验证的情况下获得远程代码执行,”Satnam在7月22日星期二收到的VOI收到的一份声明中表示。

Satnam还解释说,组织可以通过在其服务器上查找名为spinstall0.aspx的可疑文件的下落来检测潜在的漏洞,即使该文件可以使用其他扩展。

他提到,此漏洞的攻击面相对较大,外部可访问9,000多个检测到的 SharePoint 服务器。其中许多被政府机构、教育机构和大公司使用。

“我们强烈建议该组织开始调查事件应对措施,以确定潜在的渗透。否则,应用可用补丁并查看微软提供的缓解指示,“他说。