📌 重点速读 (TL;DR)

注意！你的 Microsoft SharePoint 可能正面临严重威胁。CVE‑2025‑49706，一个存在于 SharePoint Server 中的身份欺骗漏洞，已经从中等风险演变为真刀真枪的网络攻击。

其变种漏洞 (CVE‑2025‑53770) 正被黑客在网络中大规模利用，如果你的企业还在使用本地部署的 SharePoint 2016、2019 或订阅版，请立即安装修复补丁，否则服务器可能面临被完全控制的风险。

🧠 漏洞剖析

CVE‑2025‑49706 漏洞影响以下版本：

• SharePoint Server 2016
• SharePoint Server 2019
• SharePoint Server 订阅版 (版本号低于 16.0.18526.20424)

漏洞成因

该漏洞的根源在于服务器对用户身份验证的处理方式存在缺陷 (CWE‑287: Improper Authentication)。一个已通过身份验证的低权限攻击者，可以构造并发送欺骗性的网络请求，冒充其它用户身份，最终实现权限提升。

🔒 CVSS (通用漏洞评分系统) 评分

官方评分为 6.3 (中等)，但请注意，该评分极具迷惑性！

漏洞真正的危险在于它可以像堆积木一样，与其它漏洞串联起来，形成“组合拳”，从而造成“毁灭性”打击。

🧪 攻击模拟 (仅供安全研究与授权测试参考)

🔧 攻击场景： 一个已认证的普通 SharePoint 用户，通过发送精心伪造的 POST 请求，进而上传 WebShell (网站后门)，最终在服务器上执行系统级别的任意代码。

🧾 所需条件

• 一个已通过身份验证的 SharePoint 普通用户账号 (无需管理员权限)
• 抓包工具，如 Burp Suite 或其它中间人代理工具。
• 能够访问目标服务器上的特定页面，如 /sites//_layouts/15/SignOut.aspx
• 一个未能正确处理伪造请求头的目标接口

🔥 攻击步骤概览

1. 用任意普通用户账号登录 SharePoint
2. 使用 Burp Suite 拦截一个发往已知存在缺陷接口 (如 SignOut.aspx, UserProfileService.asmx) 的正常请求
3. 篡改请求头信息，例如：

• X-User-Token: spoofedtoken (伪造的用户令牌)
• X-Ms-Client-Request-Id: {malicious-guid} (恶意的客户端请求ID)

<formaction="/_layouts/15/upload.aspx"method="POST"enctype="multipart/form-data"><inputtype="file"name="webshell.aspx"></form>

攻击流程图

⚡️  最终结果

攻击者通过身份欺骗的方式，成功在服务器上获得了一个反向 Shell 或持久化的后门，并且整个过程完全绕过了常规的身份验证和授权检查。

如果再与 CVE-2025–53770 漏洞结合利用，攻击者将获得对 SharePoint 服务器的完全远程代码执行 (RCE (远程代码执行)) 权限。

⚔️ 真实世界攻击：“ToolShell” 攻击行动

Microsoft 与多家安全机构已确认，攻击者正在将 CVE‑2025‑49706 与其它漏洞打包利用，发起了一场代号为 “ToolShell” 的网络攻击。这种多阶段攻击的特征如下：

1. 组合拳利用：CVE‑2025‑49706 + CVE‑2025‑49704
2. 植入后门：上传名为 spinstall0.aspx 的 Web Shell
3. 窃取令牌：偷取 SharePoint 的身份验证令牌
4. 权限提升：通过进程注入技术，将权限提升至 NT AUTHORITYSYSTEM (系统最高权限)
5. 释放载荷：安装如 SuspSignoutReq.exe 等恶意软件

📌 简而言之，这是一个能导致服务器被完全控制的严重攻击。

🧩 如何检测与发现

如果企业部署了 Microsoft Defender for Endpoint 或 Defender 防病毒软件：

请密切关注以下安全警报：

• Possible web shell installation (检测到可能的后门安装)
• Suspicious IIS Worker Behavior (检测到可疑的 IIS 进程活动)
• HijackSharePointServer (检测到劫持 SharePoint 服务器的行为)

在以下路径中搜索是否存在 spinstall0.aspx 文件：

• C:inetpubwwwrootwssVirtualDirectories*

📁 其他需要关注的指标

• 恶意文件：检查服务器上是否存在 SuspSignoutReq.exe, sharepoint_helper.dll 等文件

• 异常外联：监控来自 SharePoint 服务器的可疑出站网络连接，尤其是访问 .onion (暗网) 域名或随机 DNS 的流量

🛡️ 缓解措施

✅ 立即打补丁！

请务必安装微软在 2025 年 7 月“补丁星期二”发布的更新：

• SharePoint 2016 ➤ KB5002744
• SharePoint 2019 ➤ KB5002741🔗 Microsoft 更新目录

✅ 开启 AMSI 与 Defender 防病毒

为了获得实时保护，请执行以下 PowerShell 命令：

Set-MpPreference -EnableScriptScanning $trueSet-MpPreference -DisableRealtimeMonitoring $false

✅ 临时切断外网访问

如果无法立即安装补丁，作为临时应急方案，可将 SharePoint 服务器与公网隔离，以阻止攻击者投递初始的攻击Payload。

🧠 高级技巧 — 自定义威胁狩猎查询

在 Microsoft 365 Defender 的“高级威胁狩猎”功能中使用以下 KQL 查询语句，可以主动检测 Web Shell 的植入行为：

DeviceFileEvents| where FileName contains "spinstall0.aspx" or FolderPath contains "inetpub"| where ActionType == "FileCreated"

🔚 结语

请不要被这个漏洞 6.3 的中等评分所蒙蔽，它是一个非常有效的内部横向移动工具，并且已经被技术高超的黑客组织所掌握。如果你的本地 SharePoint 服务器自 2025 年 6 月以来还未更新补丁——那么，你很可能已经成为了攻击目标。

📚 参考链接

• CVE-2025–49706 — NVD
• Microsoft 官方客户指南 (针对 CVE-2025–53770)
• The Hacker News 相关报道
• Wiz 威胁分析报告

原文：https://infosecwriteups.com/cve-2025-49706-sharepoint-spoofing-vulnerability-under-active-exploitation-3a640df68d3e