微软警告中国黑客利用SharePoint漏洞

微软已确认中国黑客正在利用本地部署SharePoint服务器的漏洞，导致近日全球范围内出现安全漏洞。

在7月19日的博客文章中，微软安全响应中心详细介绍了针对SharePoint服务器的活跃攻击，这些攻击利用了两个关键漏洞：CVE-2025-49706（欺骗漏洞）和CVE-2025-49704（远程代码执行漏洞）。该公司已为所有受支持的SharePoint Server版本发布了全面的安全更新，以解决这些相关漏洞。

微软观察到三个中国黑客组织正在利用这些漏洞：Linen Typhoon、Violet Typhoon和Storm-2603。该公司预计更多威胁行为者将把这些漏洞利用整合到他们针对未修补系统的攻击中。

据观察，攻击者通过向ToolPane端点发送POST请求进行侦察和尝试利用漏洞。成功利用漏洞后，他们部署名为"spinstall0.aspx"（或变体）的网页木马，窃取机器密钥数据，从而获得持久访问权限。

微软建议客户立即应用安全更新，以完全模式启用反恶意软件扫描接口(AMSI)，轮换SharePoint服务器ASP.NET机器密钥，重启Internet信息服务，并部署Microsoft Defender for Endpoint或同等解决方案。

根据微软的分析，漏洞利用尝试最早始于7月7日。Linen Typhoon历来专注于从政府和国防组织窃取知识产权，而Violet Typhoon则针对前政府人员、非政府组织和教育机构。Storm-2603此前曾部署勒索软件，尽管微软目前无法评估其在这些攻击中的目标。

微软强调，这些漏洞仅影响本地部署的SharePoint服务器，不会影响Microsoft 365中的SharePoint Online。