内容管理与团队协作平台SharePoint在企业的数位转型与协作当中扮演极为重要的角色，一旦这种系统出现资安漏洞，就可能让企业内部的机密资料外洩或是破坏，上週末出现大规模零时差漏洞攻击行动引起各界关注。

这起事故最早揭露的是资安业者Eye Security，他们在7月18日晚间侦测到不寻常的大规模漏洞利用活动ToolShell，锁定SharePoint而来，透过这种漏洞攻击链，骇客能远端执行任意程序码（RCE），该漏洞19日得到微软证实并登记为CVE-2025-53770，此为今年7月修补的CVE-2025-49706变形，影响内部建置的SharePoint Server 2016、2019，以及Subscription Edition，CVSS风险达到9.8（满分10分），该公司于20日先为SharePoint Server的2019版，以及Subscription Edition发布修补程序，但截至目前为止，SharePoint Server 2016尚无修补程序，IT人员应透过最佳实务做法降低风险。

究竟这起事故曝险的範围有多大？Eye Security并未在部落格文章提及，但他们向Bleeping Computer、The Hacker News等资安新闻媒体透露，至少有85台SharePoint受害，这些服务器是由29家企业组织掌管，其中部分是跨国企业组织及政府机关。

针对相关攻击行动的发现，Eye Security先在世界协调时间（UTC）18日晚间18时察觉ASPX恶意酬载，后续于19日凌晨发布部落格警告此事，随后于19日17时发现第二波大规模漏洞攻击。

他们起初是在客户部署CrowdStrike Falcon EDR系统的主机收到异常警示，并看到骇客在旧版SharePoint服务器执行一系列可疑活动，上传有问题的ASPX文件。但怪异的是，此SharePoint服务器并未留下成功通过ADFS身分验证的记录，也没有在IIS服务器的事件记录当中，留下存取网页服务器的使用者名称资料（cs-username），IIS服务器事件记录的参照资料更是指向使用者登出的ASPX网页（/_layouts/SignOut.aspx），根据上述现象，Eye Security认为，这些SharePoint服务器之所以遭到入侵，对方应该不是採用暴力破解或是网钓攻击。

经过调查，Eye Security确认攻击者使用了零时差漏洞，其相关手法与数日前红队演练业者Code White公布的ToolShell攻击手法一致，当时他们表示能在SharePoint重现未经身分验证的RCE漏洞，此漏洞串连Pwn2Own Berlin 2025公布的CVE-2025-49706、CVE-2025-49704，Eye Security根据Code White公布的概念验证资料，从而确定是新的零时差漏洞。

究竟骇客的目的为何？Eye Security原以为骇客打算透过Web Shell来执行命令、上传文件，或是在网路环境横向移动，但他们看到对方埋入更危险的文件spinstall0.aspx，而且，此文件的主要功能，就是解开受到加密演算法保护的帐密资料并外流，然后试图在SharePoint服务器植入恶意程序Sharpyshell。不过，Sharpyshell并非典型的Web Shell，没有任何互动的命令、反向Shell，或是C2通讯的逻辑，而是透过.NET的方法（Method）读取SharePoint服务器的MachineKey组态，来产生有效酬载valid __VIEWSTATE，并将任何通过身分验证的SharePoint请求，转成远端执行程序码之用。