近期，针对Microsoft SharePoint实例的零日漏洞攻击席卷全球，导致大量管理员面临紧急应对压力。卡巴斯基安全实验室最新技术报告揭示了攻击细节：攻击者通过简单修改漏洞利用代码（如在URL后添加一个斜杠），成功绕过了微软7月初发布的补丁，导致两个新漏洞（CVE-2025-53770和CVE-2025-53771）被触发，最终引发大规模攻击浪潮。

此次攻击被称为“Toolshell”，依赖的初始漏洞为CVE-2025-49704和CVE-2025-49706，由柏林Pwn2Own黑客大赛参赛者于今年5月发现。微软虽在7月8日发布补丁，但攻击者迅速找到绕过方法。卡巴斯基指出，首批攻击实际发生于7月7日（补丁发布前一日），但大规模利用直到7月18日才爆发——此时许多系统已打补丁，但绕过手段使攻击链重新生效。

研究显示，CVE-2025-49706的初始补丁被轻易突破：攻击者仅需在POST请求的URL后添加一个斜杠（“/”），即可绕过微软的修复。更关键的是，CVE-2025-49704的补丁也存在缺陷——微软虽提供了缓解措施，但需管理员手动配置升级，而安全公告中未明确说明，导致极少数管理员实际执行。这直接导致7月20日新漏洞CVE-2025-53770和CVE-2025-53771的出现，最终微软通过更新补丁彻底修复，无需手动干预。

攻击链或潜伏五年

卡巴斯基发现，Toolshell的利用手法与2020年修补的CVE-2020-1147漏洞高度相似。该漏洞曾影响SharePoint、.NET Framework和Visual Studio，而此次CVE-2025-53770的修复实质上是CVE-2020-1147的“升级版”。研究人员推测，攻击者可能自2020年起便持续优化漏洞利用工具，暗示该攻击链已潜伏多年。

Eye Security安全团队于7月19日首次预警，称已发现超400个受感染系统。微软随后将攻击归因于三个中国黑客组织，并指出Toolshell已被用于传播勒索软件。目前，受影响组织的具体数量尚不明确，但此次事件再次暴露了补丁管理中的关键问题：即使厂商发布修复，若配置复杂或信息不透明，管理员仍可能暴露于风险中。

卡巴斯基与微软均强调，用户需立即应用7月20日后的最新补丁（覆盖SharePoint Server 2016、2019及订阅版），并检查系统日志以排查异常POST请求（如含多余斜杠的URL）。此外，管理员应定期审计历史漏洞修复情况，避免“旧患复发”。