网络安全
CISA将微软SharePoint Server漏洞加入已知被利用清单,同时发生并行勒索软件攻击
CISA将CVE-2026-45659标记为正在被积极利用,要求联邦机构在2026年7月4日前打补丁。微软详细介绍了Storm-2603和未知行为者利用SharePoint漏洞及隧道工具的活动。
美国网络安全与基础设施安全局(CISA)周三将微软SharePoint Server中的一个高严重性漏洞加入其已知被利用漏洞(KEV)目录,理由是有证据表明它正在被野外积极利用。
该漏洞被追踪为CVE-2026-45659,CVSS评分为8.8,是一个基于对不可信数据进行反序列化的远程代码执行漏洞。微软在2026年5月修补了该问题,涉及SharePoint Server Subscription Edition、SharePoint Server 2019和SharePoint Enterprise Server 2016。
微软指出,任何经过身份验证的攻击者(不仅仅是拥有管理员或提升权限的用户)都可以触发该漏洞。在网络攻击中,一个至少拥有Site Member权限(PR:L)的经身份验证用户可以利用它在SharePoint Server上远程执行代码。
"微软SharePoint Server包含一个对不可信数据进行反序列化的漏洞,允许授权攻击者通过网络执行代码,"CISA称。
据微软的公告,该漏洞被评估为"利用可能性较低"。目前尚不清楚攻击者如何利用它、谁在背后活动,或者他们的最终目标是什么。
鉴于正在发生的积极利用,联邦民事行政部门(FCEB)机构必须在2026年7月4日前应用修复程序。
微软发现两个集群的并行威胁活动
上个月底,微软透露,一起例行勒索软件调查发现了一件不寻常的事情:两个不相关的攻击者同时在同一网络中活动,各自使用精心设计的技术以保持持久访问并增加事件响应的复杂性。
其中一组攻击被归因于Storm-2603,这是一个以部署Warlock勒索软件闻名的威胁行为者,通常利用本地SharePoint服务器中的已知漏洞, , 自2025年年中以来一直使用的策略。
"在这种情况下,初始访问很可能通过另一个漏洞尝试进行,请求win.ini和web.config等文件,表明正在探测本地文件包含漏洞,"微软称。证据指向CVE-2025-11371(CVSS评分:9.1),这是Gladinet Triofox中的一个关键漏洞。
一旦进入系统,该威胁行为者部署了像Velociraptor这样的工具,将恶意活动与可信管理行为混合在一起,并通过Cloudflare隧道、Zoho Assist以及通过Visual Studio Code配置的安全外壳(SSH)连接设置了多个远程访问通道。
该攻击还通过创建新的本地和域管理员账户来提升权限,同时一个易受攻击的驱动程序("NSecKrnl.sys")充当了干扰端点安全保护并减少可见性的渠道。
同时,微软表示,它发现了第二个不相关的威胁行为者在同一环境中活动的迹象,使用DLL侧加载和自定义后门,这使得归因更加困难。
进一步挖掘显示,攻击者从第一个网络横向移动到第二个组织,证实第二个受害者也被归因于Storm-2603的同一勒索软件活动所攻击。
"这些重叠的活动流共同实现了持续访问,同时掩盖了入侵的全部范围,"微软事件响应团队表示。"已知勒索软件策略和隐蔽技术的结合,使威胁行为者能够建立深入而持久的访问。"
"一起看似单一的勒索软件事件可能迅速演变成更复杂的情况, , 跨组织蔓延、混合策略,甚至涉及多个威胁行为者并行活动。对安全团队而言,这意味着:孤立的信号很少能讲述完整的故事。"