TeamT5 「ThreatVision 威脅情資平台」榮獲 Computex Best Choice Award 金獎
產品與服務

如何應對微軟 SharePoint 漏洞攻擊事件【TeamT5 詳解】

2025.07.23TeamT5 Media Center
Share:
針對微軟 SharePoint 漏洞 CVE-2025-53770 陸續發生大規模攻擊事件,該漏洞使 Microsoft SharePoint Server 可被未經授權的攻擊者直接執行惡意程式碼,達到侵入系統之目的,CVE 相關資訊可參考原廠說明
TeamT5 MDR 與威脅情資團隊針對此一漏洞事件立即採取行動,協助客戶確認場域是否遭到此波漏洞攻擊並討論應對防範策略,本文也提供面對高危漏洞類事件處置相關建議。

TeamT5 威脅檢測行動

威脅分析

SharePoint 服務用於公司內部內容之分享,且與許多核心服務高度整合,一旦被侵入,攻擊者可能藉由其橫向擴散至這些系統;另根據 CISA 組織建議,擁有 SharePoint 主機的公司應假設已遭滲透,即使有安裝修補程式(patch),也仍需全面排查主機狀況與做事件處理回應。

場域巡檢

TeamT5 MDR 服務團隊已主動針對事件攻擊特徵與關聯之 IP(詳見下方),巡檢客戶場域是否有存在相關惡意程式狀況,並檢視場域端點掃描報告及活動紀錄,確保無潛在威脅存在。
[可疑的 IP 位址或網域名稱]
104.238.159.149
107.191.58.76
34.121.207.116
34.72.225.196
45.191.66.77
45.77.155.170
96.9.125.147
更多相關資訊,可訂閱 ThreatVision 漏洞修補威脅情資

端點掃測

針對此一漏洞攻擊特徵,目前已可運用 TeamT5 產品 ThreatSonar 威脅鑑識分析平台,針對 Sharepoint 主機掃描取得相關資訊,確認是否有惡意攻擊行為發生,確認重點為:
  • 惡意事件紀錄:是否有 可疑 Powershell 執行狀況。
  • 惡意檔案內容:是否有 WebShell 存在狀況。
  • 惡意系統指令:是否有 相關橫向移動指令(lolbas)執行狀況。

TeamT5 建議處置措施

如發現場域中 SharePoint 主機已有遭攻擊狀況發生時,建議可採取以下措施:
  1. 停止 SharePoint 主機對外服務(斷網隔離),並重置此台主機的 MachineKey,及安裝修補程式
  2. 保存惡意檔案與 Web Access Log 提供資安專家進行鑑識與分析攻擊來源,藉以找出相關 IoC 資訊提供調查確認使用。
  3. 於系統上刪除所發現之惡意檔案,並對場域其他主機進行資安健診(compromise assessment)與威脅狩獵,確認資訊場域其他端點是否安全。

面對 APT 及勒索軟體攻擊事件頻傳,TeamT5 建議場域仍需強化下列防護與應對措施:
  • 在資安事件 IoC 發布時,應立即將情資匯入資安防護設備與平台中,主動偵掃確認是否有隱藏威脅存在。
  • 掌握場域中網路終端設備、對外服務系統、內部核心 AD 管理與端點系統威脅情資,檢視可能發生之攻擊行為並導入相關防護機制,降低攻擊成功機率。
  • 針對場域資安事件應變處理過程,建議透由「事前檢視預防」、「事中防護阻擋」與「事後復原強化」來面對可能發生之網路攻擊威脅,並保留相關事證進行調查。

諮詢 TeamT5 威脅情資及事件處理服務團隊,協助檢視場域可能威脅,提早規劃應對方案,例如:

TeamT5 的承諾

為確保客戶場域環境安全,TeamT5 提供多樣化的服務,以滿足客戶不同的安全需求,並始終以確保客戶系統安全作為優先事項。如有任何進一步的問題或需要更多資訊,請隨時與我們聯繫。

杜浦數位安全電腦資安事件應變小組與產品資安事件應變小組(TeamT5 CSIRT & PSIRT)主要提供客戶有關資安事件偵測、通報與應變處理服務,過程中會與客戶的 IT 及資安團隊進行密切配合,並於事前提供客戶面對網路威脅所需情資及專業工具,協助辨識與防禦威脅,事中進行偵測與因應與事後復原強化等服務。
IR 資安事件應變服務: 介紹
MDR 威脅偵測應變代管服務: 介紹
若您有資安事件處理、應變的需求,歡迎填寫諮詢表單


(首圖來源:pexels)
2025.07.23TeamT5 Media Center
Share:
為提供您最佳的服務體驗,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權與Cookies使用政策。