【安全通告】微软 SharePoint Server 远程代码执行漏洞风险通告（CVE-2025-53770）

腾讯云安全中心监测到，微软官方发布安全更新，修复了其 SharePoint Server 存在的远程代码执行漏洞，漏洞编号CVE-2025-53770。可导致未经身份验证的远程攻击者执行任意代码等危害。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

SharePoint 提供了一个企业的业务解决方案，它利用了企业应用程序集成功能，以及灵活的部署选项和管理工具，将来自不同系统的信息集成到一个解决方案中。 

据官方描述，在 SharePoint Server 中存在反序列化漏洞，未经身份验证的远程攻击者可借助 ToolShell 利用链（CVE-2025-49704 + CVE-2025-49706）绕过安全限制，然后上传 aspx 文件来窃取 SharePoint 服务器的核心加密密钥（MachineKey 中的 ValidationKey 和 DecryptionKey 值），从而使用这些密钥伪造合法签名来绕过服务端身份验证，并最终通过构造恶意的 ViewState 反序列化数据触发远程任意代码的执行等。 

注：Microsoft 365 SharePoint Online 不受该漏洞影响。 

目前该漏洞的漏洞细节、POC已公开，并已存在在野利用。

未经身份验证的远程攻击者利用该漏洞可执行任意代码等危害。

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Microsoft SharePoint Server Subscription Edition == KB5002768

Microsoft SharePoint Server 2019 == KB5002754

Microsoft SharePoint Server 2019 == KB5002753

Microsoft SharePoint Enterprise Server 2016 == KB5002760

Microsoft SharePoint Enterprise Server 2016 == KB5002759

1. 官方已发布安全补丁，请评估业务是否受影响后，及时应用安全补丁：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770

2. 缓解措施：

(1) 在 SharePoint 中配置 AMSI 集成，并在所有 SharePoint 服务器上部署 Defender AV。如果无法启用 AMSI 集成，建议立即断开 SharePoint 服务器与互联网的连接，直至安全更新可用。具体可参考：

https://learn.microsoft.com/sharepoint/security-for-sharepoint-server/configure-amsi-integration

注：AMSI 集成在 2023 年 9 月的 SharePoint Server 2016/2019 安全更新和 SharePoint Server Subscription Edition 的 23H2 功能更新中默认启用。

(2) 部署 Microsoft Defender for Endpoint 以检测和阻止漏洞利用后的活动。

3. 修复方案：

在完成 SharePoint 安全漏洞的修复后，即安装 SharePoint 安全更新或启用 AMSI 后，必须立即：

(1) 轮换所有 SharePoint 服务器的 ASP.NET Machine Key：

<1> 生成新密钥，即为指定 Web 应用创建新的加密密钥（ValidationKey 和 DecryptionKey）：

Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>

<2> 部署新密钥，即同步密钥到所有关联服务器：

Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>

(2) 重启 IIS 服务： 

轮换完成后，使用 iisreset.exe 在所有 SharePoint 服务器上重新启动 IIS，即确保新密钥生效。

注：具体可参考以下官方链接：

https://learn.microsoft.com/en-us/sharepoint/security-for-sharepoint-server/improved-asp-net-view-state-security-key-management#powershell-cmdlets

1. 查看是否存在恶意文件：

C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx

2. 查看是否存在以下 IIS 日志条目：

POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx

Referer: _layouts/SignOut.aspx

3. 或者直接使用 Microsoft 提供的 KQL（Kusto 查询语言）脚本进行高级搜索，检查是否存在漏洞利用的迹象：

DeviceFileEvents

| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"

| where FileName =~ "spinstall0.aspx"

or FileName has "spinstall0"

| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256

| order by Timestamp desc

【备注】：建议您在升级前做好数据备份工作，避免出现意外