Microsoft 又遇到了一个巨大的安全问题，但不要指望它会持续下去

快速阅读: 《The Register》消息，微软SharePoint遭零日漏洞攻击，可能由政府支持黑客利用，影响多版本服务器，微软未及时修复，引发安全专家担忧。

评论：又开始了。又一次重大的微软攻击，这次有人——很可能是政府支持的黑客——利用了SharePoint服务器中的一个零日漏洞，而微软未能修复。周六晚上，微软警告称，它“已知有活跃的攻击针对本地部署的SharePoint服务器客户，利用了7月安全更新部分解决的漏洞。”又开始了。又一次重大的微软攻击，这次有人——很可能是政府支持的黑客——利用了SharePoint服务器中的一个零日漏洞，而微软未能修复。这个漏洞是一个关键的、评分为9.8的远程代码执行漏洞，被追踪为CVE-2025-53770，是CVE-2025-49706的一个变种，微软在7月补丁星期二事件中披露并试图修复。现在被称为“ToolShell”的漏洞利用，允许攻击者完全控制SharePoint服务器，包括文件系统和内部配置，并通过网络执行代码。又开始了。又一次重大的微软攻击，这次有人——很可能是政府支持的黑客——利用了SharePoint服务器中的一个零日漏洞，而微软未能修复。“一旦进入，他们就会窃取敏感数据，部署持久后门，并窃取加密密钥，”Unit 42首席技术官兼威胁情报主管迈克尔·西科斯基告诉《注册报》。该漏洞影响SharePoint企业服务器2016版、SharePoint服务器2019版以及SharePoint服务器订阅版。截至周一，2016版仍未获得修复。《注册报》询问微软何时会修补SharePoint企业服务器2016版，谁应对这些攻击负责，一位发言人告诉我们，软件巨头目前“除了博客文章外没有更多信息可以分享。”周日，美国网络安全和基础设施安全局对ToolShell攻击发出警报，将CVE添加到其已知被利用漏洞目录中，并指示所有美国联邦民事行政部门机构识别可能受影响的系统，并于7月21日前采取缓解措施。周一，英国国家网络安全中心披露了“少数”英国组织正在遭受攻击。然而，所有这些行动都太迟了，根据安全研究人员的说法，罪犯已经利用该漏洞从全球各国政府、电信、教育、关键基础设施和软件公司窃取了敏感信息。这可能会变得更糟。美国参议员罗恩·韦登（D-OR）经常批评微软和整个科技行业，他谴责雷德蒙德对此事的漫不经心的回应：“政府机构已经依赖一家不仅不关心安全，而且还在通过销售高端网络安全服务来解决其产品缺陷而赚取数十亿美元的公司。由微软疏忽造成的每次黑客攻击都会导致政府在微软网络安全服务上的支出增加。除非政府停止通过更大规模的合同奖励微软的疏忽，否则政府永远无法摆脱这个循环。”7月7日的攻击针对“主要西方政府”，Qualys周一指出，Fofa搜索显示发现了超过205,000个目标，表明有数十万潜在易受攻击的实例。Check Point Research在7月7日发现了首次利用迹象，并表示攻击者针对的是“一个主要的西方政府”。7月18日和19日，攻击加剧，使用与三个IP地址相关的基础设施：104.238.159.149、107.191.58.76和96.9.125.147。其中一个IP（104.238.159.149）还与针对两个Ivanti零日漏洞的大量利用尝试有关，即CVE-2025-4427和CVE-2025-4428，这些漏洞可以串联以实现未经身份验证的远程代码执行（RCE）。据信，至少一些Ivanti攻击是由中国间谍发起的，尽管我们尚不清楚新微软漏洞的攻击者是谁，但多位安全专家告诉我们，所有迹象都指向另一场国家行为者攻击。Check Point Research威胁情报总监洛特姆·芬克尔斯坦告诉《El Reg》：“此次活动的性质——隐蔽、高度针对性，旨在针对政府和电信部门——强烈表明这是国家行为者的所作所为，并指向更广泛的间谍活动。”他还补充道，“数千家全球组织面临风险。”谷歌Mandiant安全公司的CTO查尔斯·卡马克尔同意国家行为者的评估，并认为中国应为此负责。“我们评估至少有一个参与早期利用的攻击者是与中国有关的威胁行为者。重要的是要理解，现在有多名攻击者正在积极利用此漏洞。我们完全预计这种趋势将持续下去，因为各种其他动机驱动的威胁行为者也将利用这一漏洞。”自7月7日起，Check Point表示，它已确认“数十次”入侵尝试，主要针对北美和西欧的政府（49%）、电信（9%）和软件（24%）行业。“微软在企业环境中的普遍性使其成为寻求秘密访问敏感系统的对手的诱人目标，”芬克尔斯坦说。“这不是关于薄弱的安全标准。而是关于破坏最广泛使用的平台的战略价值。”WatchTowr主动威胁情报主管瑞安·德赫斯特告诉《注册报》说，他的安全公司已经看到“数百家组织受到广泛影响，包括那些许多人认为极其敏感的组织”，如政府、教育和关键基础设施。“我们的数据显示，初始扫描早在7月16日就已开始出现在互联网上，”他补充道。“到7月17日和18日，利用已经全面展开，促使微软于7月19日发布正式公开通告。目前，美国、德国、法国和澳大利亚正承受着最大的利用活动。”虽然“归因需要时间”，德赫斯特指出，早期迹象“指向专注于持续性的国家行为者”，而其他罪犯也已经开始注意。“正如以往一样，当一个漏洞引起广泛关注时（无论是否发布了PoC），犯罪团伙和其他威胁行为者团体都会跟进——我们现在看到的就是这种情况。”WatchTowr在周末提醒了易受攻击的组织，有时甚至“被迫实时观看它们被入侵”，德赫斯特说。“我们相当确定，称之为接近最坏情况的情景是可接受的。”“残酷的现实是，我们会看到这个漏洞在未来很长时间内被利用，因为组织未能打补丁，或者攻击者返回以重新获得访问权限，就像本周看到的那样，”他补充道。“仅靠打补丁不足以彻底驱逐威胁。”此外，正如西科斯基和高管们指出的那样：“仅靠打补丁不足以完全驱逐威胁。”“仅靠打补丁不足以彻底驱逐威胁。”“如果你的本地部署SharePoint暴露在互联网上，你应该假设此时已经被入侵了，”他补充道。Mandiant Consulting的CTO查尔斯·卡马克尔在LinkedIn上的一份关键警报中表达了类似的担忧。“这不是一个‘打补丁就完成了’的情况，”他写道。“组织需要立即实施缓解措施（并在可用时打补丁），假设已被入侵，调查系统在补丁/缓解之前是否已被入侵，并采取补救措施。”不幸的是，这并不是政府支持的间谍——甚至Lapsus$的恶棍——第一次闯入微软的系统和产品以窃取敏感信息。自2020年以来，俄罗斯的Cozy Bear至少两次突破了微软的数字防线：第一次发生在2020年的SolarWinds供应链攻击中。然后，在2023年底，该组织窃取了这家科技巨头领导团队的电子邮件和文件，以及网络安全和法律员工的电子邮件和文件，尽管这次直到2024年1月才被发现。微软修补了受攻击的SharePoint 2019和SE。微软修补失败，本地部署SharePoint现在正遭受零日攻击。微软修补了受攻击的SharePoint 2019和SE。美国政府指责微软犯下“可以避免的错误”，但仍继续为其产品付费。微软最新的电子邮件泄露说明了这家IT安全巨头的情况。中国的间谍已经窃取了一个私有加密密钥、政府电子邮件和其他重要的、所谓机密的东西，引发了联邦政府的严厉批评，称“一系列本可以避免的错误”使得中国攻击成为可能。去年夏天，微软总裁布拉德·史密斯在国会作证，谈及该公司反复出现的安全失败——但这并没有阻止数百万美元的政府合同流入雷德蒙德的腰包。我们几乎不指望这次最新的安全问题能真正打击雷德蒙德，也不期望另一次CISA对微软的调查。如今，美国政府忙于其他更重要的事情——比如削减美国的网络防御者，以及试图让总统特朗普与他已故的好友、被定罪的性犯罪者杰弗里·爱泼斯坦保持距离。生意照常进行，雷德蒙德最终会发布一份措辞模糊的事后分析，为自己开脱一切责任，然后推出另一个新的安全计划，而不是真正解决问题。但嘿，至少它让我们这些安全记者有工作可做。

(以上内容均由Ai生成)