背景图片取自Tim Hüfner on Unsplash

7月中SharePoint Server遭骇事件受害层面逐渐扩大，包括美国核安管理署（National Nuclear Security Administration，NNSA）在内的美国政府机构。

荷兰资安业者Eye Security 上周末首先公开数十家机构SharePoint服务器发生滥用2漏洞事件，后来其中较重大的漏洞被命名为CVE-2025-53770，而其滥用漏洞的手法则称为ToolShell。多家资安业者估计，初期受害者涵括美国政府机构。

昨日美国能源部向彭博证实，能源部下的国家核安管理署（NNSA）网路上周遭骇客存取。事件发生在7月18日。能源部发言人说，由于Microsoft M365云及其网路安全系统的普及，能源部难免受影响。但他强调，NNSA只有极少数系统受影响，而且所有受影响的系统都已恢复营运。

SharePoint Server零时差漏洞事件后，微软等其他资安业者相继公开研究发现，灾情逐渐揭露。Check Point观察到，攻击最早可追溯到7月7日，主要目标是西方国家政府机关、电信业者和软件公司。最先侦测到本波攻击的Eye Security本周表示，该公司侦测被感染SharePoint服务器已扩大到至少400台以上，分散全球148个组织。

至于攻击者身份，初步研究指向中国。微软分析，有2个中国国家骇客组织Linen Typhoon和Violet Typhoon及另一名为Storm 2603的中国骇客都加入滥用最新漏洞的行列。Google旗下Mandiant Consulting研究人员相信至少有一起攻击是中国骇客所为。