【风险提示】Microsoft SharePoint 远程代码执行漏洞(CVE-2025-53770)

长亭安全应急响应中心 2025-07-21 19:04:00

2025-07-21 19:04 北京

检测业务是否受到此漏洞影响，请联系长亭应急服务团队！

Microsoft SharePoint 是一款由微软开发的企业级协作与内容管理平台，旨在帮助组织高效地管理文档、数据和业务流程，同时促进团队协作。

2025年7月，微软发布安全通告，修复了远程代码执行漏洞(CVE-2025-53770) 和目录穿越漏洞(CVE-2025-53771)。经分析，未经授权的攻击者可利用CVE-2025-53770在SharePoint服务器上执行任意代码，利用难度较低，危害较大，建议受影响的用户尽快修复。

漏洞描述

Description

漏洞成因

攻击者通过上传恶意的aspx文件从SharePoint服务器中提取ValidationKey和DecryptionKey等加密密钥，然后使用这些泄露的密钥制作有效签名到__VIEWSTATE载荷，最终通过ASP.NET的ViewState反序列化机制实现未经身份验证的远程代码执行。

漏洞影响

远程代码执行：攻击者可在服务器上执行任意系统命令，可能导致服务器被完全控制、数据泄露或业务系统沦陷。

处置优先级：高

漏洞类型：远程代码执行

漏洞危害等级：严重

触发方式：网络远程

权限认证要求：无需权限

系统配置要求：默认配置

用户交互要求：无需用户交互

利用成熟度：POC/EXP 已公开

修复复杂度：低，官方提供补丁修复方案

影响版本

Affects

Microsoft SharePoint Server 2016
Microsoft SharePoint Server 2019 < KB5002754补丁
MicrosoftSharePoint Server Subscription Edition < KB5002768补丁

解决方案

Solution

升级修复方案
1、为SharePoint Subscription Edition安装KB5002768更新，为SharePoint 2019安装KB5002754更新
2、通过PowerShell的Update-SPMachineKey命令或通过Central Administration的Machine Key Rotation定时作业轮换SharePoint服务器的ASP.NET机器密钥
3、重启IIS服务：完成机器密钥轮换后，在所有SharePoint服务器上使用iisreset.exe重启IIS服务以使更改生效
参考链接：https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
临时缓解方案
启用AMSI防护：确保反恶意软件扫描接口（AMSI）集成在SharePoint中正确启用并配置为Full Mode模式，该功能在2023年9月的安全更新后默认启用，能够阻止未经身份验证的攻击者利用此漏洞
对于无法立即应用补丁或启用AMSI的SharePoint服务器（特别是SharePoint 2016），建议暂时断开服务器与互联网的连接直至安全更新可用

时间线

Timeline

2025年7月微软官方发布安全通告

2025年7月21日长亭安全应急响应中心发布通告

参考资料：

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时，守护您的安全

第一时间找到我们：

侵权请联系站方： [email protected]