針對微軟 SharePoint 漏洞 CVE-2025-53770 陸續發生大規模攻擊事件,該漏洞使 Microsoft SharePoint Server 可被未經授權的攻擊者直接執行惡意程式碼,達到侵入系統之目的,CVE 相關資訊可參考原廠說明。
TeamT5 MDR 與威脅情資團隊針對此一漏洞事件立即採取行動,協助客戶確認場域是否遭到此波漏洞攻擊並討論應對防範策略,本文也提供面對高危漏洞類事件處置相關建議。
TeamT5 威脅檢測行動
威脅分析
SharePoint 服務用於公司內部內容之分享,且與許多核心服務高度整合,一旦被侵入,攻擊者可能藉由其橫向擴散至這些系統;另根據 CISA 組織建議,擁有 SharePoint 主機的公司應假設已遭滲透,即使有安裝修補程式(patch),也仍需全面排查主機狀況與做事件處理回應。
場域巡檢
TeamT5 MDR 服務團隊已主動針對事件攻擊特徵與關聯之 IP(詳見下方),巡檢客戶場域是否有存在相關惡意程式狀況,並檢視場域端點掃描報告及活動紀錄,確保無潛在威脅存在。
[可疑的 IP 位址或網域名稱]
104.238.159.149
107.191.58.76
34.121.207.116
34.72.225.196
45.191.66.77
45.77.155.170
96.9.125.147
104.238.159.149
107.191.58.76
34.121.207.116
34.72.225.196
45.191.66.77
45.77.155.170
96.9.125.147
更多相關資訊,可訂閱 ThreatVision 漏洞修補威脅情資。
端點掃測
針對此一漏洞攻擊特徵,目前已可運用 TeamT5 產品 ThreatSonar 威脅鑑識分析平台,針對 Sharepoint 主機掃描取得相關資訊,確認是否有惡意攻擊行為發生,確認重點為:
- 惡意事件紀錄:是否有 可疑 Powershell 執行狀況。
- 惡意檔案內容:是否有 WebShell 存在狀況。
- 惡意系統指令:是否有 相關橫向移動指令(lolbas)執行狀況。
TeamT5 建議處置措施
如發現場域中 SharePoint 主機已有遭攻擊狀況發生時,建議可採取以下措施:
- 停止 SharePoint 主機對外服務(斷網隔離),並重置此台主機的 MachineKey,及安裝修補程式。
- 保存惡意檔案與 Web Access Log 提供資安專家進行鑑識與分析攻擊來源,藉以找出相關 IoC 資訊提供調查確認使用。
- 於系統上刪除所發現之惡意檔案,並對場域其他主機進行資安健診(compromise assessment)與威脅狩獵,確認資訊場域其他端點是否安全。
面對 APT 及勒索軟體攻擊事件頻傳,TeamT5 建議場域仍需強化下列防護與應對措施:
- 在資安事件 IoC 發布時,應立即將情資匯入資安防護設備與平台中,主動偵掃確認是否有隱藏威脅存在。
- 掌握場域中網路終端設備、對外服務系統、內部核心 AD 管理與端點系統威脅情資,檢視可能發生之攻擊行為並導入相關防護機制,降低攻擊成功機率。
- 針對場域資安事件應變處理過程,建議透由「事前檢視預防」、「事中防護阻擋」與「事後復原強化」來面對可能發生之網路攻擊威脅,並保留相關事證進行調查。
諮詢 TeamT5 威脅情資及事件處理服務團隊,協助檢視場域可能威脅,提早規劃應對方案,例如:
- 採用 TeamT5 ThreatVision 威脅情資平台,關注最新網路攻擊威脅情資及深暗網威脅情資,掌握可能波及的攻擊情況及系統外洩帳密、資料洩露狀況,及時找出可能已遭入侵之破口,立即修補弱點,防範災情擴大。
- 檢視場域網路系統架構與評估曝險狀況,針對核心系統如 Web、Email、ERP 及 AD 等與作業端點,導入 ThreatSonar Anti-Ransomware 端點威脅鑑識分析與回應平台,確保場域端點環境安全,並第一時間偵測回應與阻擋駭客攻擊威脅。
TeamT5 的承諾
為確保客戶場域環境安全,TeamT5 提供多樣化的服務,以滿足客戶不同的安全需求,並始終以確保客戶系統安全作為優先事項。如有任何進一步的問題或需要更多資訊,請隨時與我們聯繫。
杜浦數位安全電腦資安事件應變小組與產品資安事件應變小組(TeamT5 CSIRT & PSIRT)主要提供客戶有關資安事件偵測、通報與應變處理服務,過程中會與客戶的 IT 及資安團隊進行密切配合,並於事前提供客戶面對網路威脅所需情資及專業工具,協助辨識與防禦威脅,事中進行偵測與因應與事後復原強化等服務。若您有資安事件處理、應變的需求,歡迎填寫諮詢表單。
(首圖來源:pexels)