深入剖析CVE-2025-53770：无需认证的SharePoint零日RCE漏洞变种

🚨 CVE‑2025‑53770 — SharePoint零日漏洞变种被用于实现完全远程代码执行

一个关键的零认证RCE漏洞出现在SharePoint中（CVE-2025–53770），目前已在野外被利用，该漏洞直接建立在欺骗漏洞CVE-2025–49706之上。

📌 摘要

CVE‑2025‑53770是一个关键（CVSS 9.8）的、无需认证的Microsoft SharePoint远程代码执行漏洞，目前已在野外被主动利用。这不是一个独立的问题——它是CVE‑2025‑49706的一个变种，我之前分析过后者。但与需要认证的CVE-2025-49706不同，53770不需要任何认证。
这就是无需认证的代码执行，在正在进行的攻击中已出现真实的Web Shell部署和权限提升行为。请立即打补丁。

🔁 内容回顾

我之前分析了CVE‑2025‑49706—— SharePoint中的一个欺骗漏洞，它允许进行令牌操作、Web Shell上传以及从一个已认证的立足点进行横向移动。CVE‑2025‑53770建立在相同的基础上，但完全跳过了登录步骤。

🧠 什么是 CVE‑2025‑53770？

• 类型：无需认证的远程代码执行（RCE）
• 严重性：CVSS 9.8（严重）
• 受影响的产品：
  • SharePoint Server 2016（未打补丁）
  • SharePoint Server 2019
  • SharePoint Server Subscription Edition

🔍 根本原因

根据微软的说法，这是CVE‑2025‑49706的一个变种，涉及对精心构造的身份验证令牌的不当处理——结合恶意的__VIEWSTATE载荷——从而导致代码在IIS工作进程（w3wp.exe）中直接执行。

⚔️ 真实世界攻击

🚨 ToolShell 攻击活动更新

攻击者正在组合利用：

• CVE‑2025‑49704 （反序列化漏洞）
• CVE‑2025‑49706 （伪造的请求头 + 认证绕过）
• CVE‑2025‑53770 （无需认证的RCE）
  并部署：
• spinstall0.aspxWeb Shell
• 像SuspSignoutReq.exe这样的载荷
• 在w3wp.exe下的持久化工具

🎯 受影响目标（基于MSRC报告）：

• 政府和教育部门
• 本地部署的SharePoint门户
• 任何在7月补丁发布前暴露在互联网上的SharePoint实例

🧪 简化的攻击流程：

1. 📥 恶意请求被发送到易受攻击的端点（无需认证）
2. 🧾 注入的__VIEWSTATE载荷或伪造的令牌绕过验证
3. 💣 代码在IIS（w3wp.exe）中以NT AUTHORITY\SYSTEM权限执行
4. 🐚 Web Shell被上传，建立远程访问
5. 🛰️ 发起C2通信，开始横向移动

🛡️ 缓解与修补措施

✅ 立即打补丁

微软于2025年7月20日至21日发布了带外安全更新：

• SharePoint 2019 ➝KB5002741
• SharePoint SE ➝KB5002755
• SharePoint 2016 补丁待发布——请尽快隔离服务器

✅ 系统加固

• 在打补丁之前，禁用对SharePoint的外部访问。
• 轮换机器密钥 / viewstate验证密钥。
• 启用AMSI + Defender AV，并使用以下PowerShell标志：

  Set-MpPreference-EnableControlledFolderAccess EnabledSet-MpPreference-EnableScriptScanning$true

🔎 检测与威胁狩猎

• IOC示例：
  • spinstall0.aspx
  • SuspSignoutReq.exe
  • POST载荷中大型编码的__VIEWSTATE
  • 可疑的进程树：w3wp.exe→cmd.exe→powershell.exe
• Defender KQL 狩猎查询：

  DeviceFileEvents | where FileName contains "spinstall0.aspx" or FolderPath contains "inetpub" | where ActionType == "FileCreated"

🔗 与 CVE‑2025‑49706 的关联

微软已确认53770是49706的一个变种，现已被武器化为无需认证的RCE漏洞。

🧠 最终思考

这不仅仅是又一个CVE通告。CVE‑2025‑53770 是近期记忆中最危险的SharePoint漏洞之一。它建立在一个已经非常糟糕的欺骗漏洞（49706）之上，并消除了唯一的障碍——身份验证。
如果你正在运行本地SharePoint实例，并且自2025年7月初以来没有打过补丁，请假设已遭入侵并积极进行威胁狩猎。

📚 参考资料

• Microsoft 博客 — CVE-2025–53770
• SecurityWeek 报道
• 我的 CVE‑2025‑49706 分析
• Wiz 威胁情报

👨‍💻 关于作者

我是一名专注于攻击性安全、漏洞分析和红队行动的网络安全从业者。我在TryHackMe上排名前2%，并发布了如KeySentry、ShadowHash和PixelPhantomX等安全工具。我持有CEH、Security+和印度理工学院坎普尔分校红队证书等认证，并定期为InfoSec WriteUps和其他安全平台撰稿。
CSD0tFqvECLokhw9aBeRqpNzLTXFlojmzFn6OlyTg9V4ZLVjktTcAg2Nby+L3WiH/rVq+lJ7nPxbweCKeDzXO5db+vnwYF3EWLJQAfa4F5mhxjTcVDEoanAim5+q1flpndxjhuupg8AYW+vJva4lXTzraQlwXoH/Ij9NJa6+83k=
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）