NCSC 表示，随着全球影响的蔓延，受 SharePoint 攻击影响的英国公司“数量有限”

快速阅读: 据《ITProPortal》最新报道，英国NCSC发现“ToolShell”漏洞影响部分用户，微软警告攻击者正利用此漏洞。该漏洞允许远程执行代码，目前尚无修复补丁。多家公司称已遭入侵，CISA正与微软合作应对。

据路透社报道，7月16日，英国伦敦，英国国家网络安全中心（NCSC）发现“有限数量”的英国用户受到名为“ToolShell”的SharePoint零日漏洞影响。随着全球范围内受影响用户数量的增加，这一问题引起了广泛关注。

周末，微软警告称，有人正在利用本地部署的SharePoint服务器中的漏洞进行主动攻击，这使得黑客能够在网络上执行代码。微软建议管理员立即推出更新，尽管目前尚无针对SharePoint 2016的修复程序。Microsoft 365中的SharePoint Online不受该零日漏洞的影响。

Eye Security是第一个发现该漏洞的公司，该公司表示，早期的互联网扫描发现了100个使用该漏洞被入侵的组织，主要在美国和德国。不过这是在该零日漏洞被广泛报道之前，因此预计影响范围会更广。Eye Security首席黑客Vaisha Bernard告诉路透社：“谁也不知道其他对手自那时起做了什么，以安装其他后门。”PwnDefend的Daniel Card补充道：“SharePoint事件似乎在全球范围内的各种服务器上造成了广泛的破坏。”

目前尚不清楚是谁发动了这次攻击，但据报道称，谷歌旗下的Mandiant Consulting首席技术官Charles Carmakal表示，现在有多个黑客团体正在使用该漏洞。他表示：“至少有一个参与此次早期利用的参与者与中国有关。”

除了英国之外，据报道，根据《华盛顿邮报》的消息，SharePoint零日漏洞已被用于入侵美国两家联邦政府机构的服务器。微软表示，它正与包括网络安全和基础设施安全局（CISA）和国防部网络防御指挥在内的美国机构密切合作，而FBI表示，它正在与澳大利亚、加拿大及其他国家的当局一起进行调查。

CISA代理执行助理主任Chris Butera在一份声明中表示，该机构是通过一个值得信赖的合作伙伴得知该零日漏洞的，并已主动联系微软。“微软正在迅速做出反应，我们正在与该公司合作，协助通知可能受影响的实体关于推荐的缓解措施，”Butera说。“CISA鼓励所有拥有本地部署的微软SharePoint服务器的组织采取立即推荐的行动。”

安全公司Rapid7表示，它正在观察其客户环境中的活跃利用，并警告说，这次攻击似乎是针对性的。“该漏洞正在被用于大规模的攻击行动，以实现远程代码执行（RCE），建立持久访问，并提取加密密钥，使攻击者能够伪造有效的认证令牌，”该公司在其博客文章中警告道。“这次活动并非偶然——它是有意图的、有能力的，并且旨在长期存在，即使在补丁之后仍能保持持久性。”

事实上，微软表示该漏洞与本月早些时候修补的一个漏洞有关，还提到新的漏洞可能是“补丁绕过”。NCSC表示，攻击中使用了两个漏洞，将SharePoint服务器的零日漏洞与第二个漏洞结合使用。“该漏洞允许攻击者通过反序列化不受信任的数据远程执行任意代码，”该机构表示。“另一个漏洞CVE-2025-53771允许此攻击在绕过身份验证的情况下进行。”

一位安全专家表示，任何无法打补丁的系统应暂时与互联网断开连接。“我们敦促运行本地部署的SharePoint的组织立即采取行动，现在并随可用情况应用所有相关补丁，轮换所有加密材料，并参与专业的事件响应，”Palo Alto Networks旗下Unit 42的CTO兼威胁情报主管Michael Sikorski告诉美联社。“一个临时解决方案是将您的微软SharePoint从互联网上断开，直到补丁可用。”

(以上内容均由Ai生成)