【2025年07月21日訊】(記者陳霆綜合報導)微軟發布緊急安全警報,警告其廣泛應用於政府與企業內部文件協作的SharePoint服務器(伺服器)正遭遇大規模網攻。攻擊者利用尚未修補的漏洞,入侵全球多國的政府機構與關鍵基礎設施,引發聯邦調查局(FBI)與美國網絡安全與基礎設施安全局(CISA)緊急介入。
微軟已針對SharePoint訂閱版(Subscription Edition)發布安全更新,並正為2016與2019年版本開發補丁。微軟建議,無法立即部署防護措施的組織,應將服務器斷網,直到更新可用為止。
攻擊手法與漏洞細節
據CISA與資安公司Palo Alto Networks的說法,攻擊者利用編號為CVE-2025-53770的「零日漏洞」,可在未授權的情況下遠程執行代碼,繞過多重身份驗證(MFA)與單一登入(SSO)保護,取得服務器的存取權限。
《華盛頓郵報》率先報導了此次網攻行動,指出不明身分的攻擊者在過去幾日內利用該漏洞,針對美國與國際機構及企業發動攻擊。
微軟在週六(7月19日)發出的安全通報中表示,漏洞僅影響組織內部使用的SharePoint服務器,雲端版Microsoft 365中的SharePoint Online並未受影響。
CISA發言人瑪西‧麥卡錫(Marci McCarthy)表示,週五一家網絡安全研究公司通報了此事,並立即聯繫微軟。
CISA指出,該漏洞為早先已知漏洞「CVE-2025-49706」的一種變種,並將攻擊活動被命名為「ToolShell」。
美國聯邦調查局(FBI)週日表示,已得知這些攻擊事件,正與聯邦及私部門合作處理,但未提供更多細節。
Palo Alto Networks技術長西科爾斯基(Michael Sikorski)向《新聞週刊》(Newsweek)表示,攻擊者滲透系統後,會部署持久性後門、竊取敏感數據與加密金鑰,並可藉此在未來持續重返系統。
「令人特別擔憂的是,SharePoint與微軟平台緊密整合」,西科爾斯基說,「一旦被攻破,將難以控制──它會打開通往整個網絡的大門。」
入侵範圍廣泛 美歐亞多國機構受害
據資安公司與政府官員透露,這波攻擊已影響遍及全球的政府機構與企業用戶,包括美國聯邦與州政府、能源公司、學術機構、醫療系統,以及歐洲與亞洲的組織。
據荷蘭資安公司Eye Security的追蹤,該漏洞已引發超過50起入侵事件,其中包括美國一家能源公司和幾個歐洲政府機構。研究人員稱,至少有兩家美國聯邦機構的服務器遭入侵,但根據受害者保密協議,他們無法透露具體名稱。
據《華盛頓郵報》報導,受害機構還包括西班牙的一個政府機構、美國阿爾伯克基市(Albuquerque)的地方單位,巴西的一所大學、以及一家亞洲電信公司。
目前尚不清楚這波全球性網攻的主謀是誰,其最終目標為何。一家私人研究機構稱,黑客同時攻擊了中國境內的服務器,以及美國東部某州的議會系統。
美國東部某州的官員透露,黑客已「劫持」該州一個公共文件儲存庫,該系統原用於向民眾公開政府信息,幫助居民了解政府運作。該州目前無法存取這些內容,不清楚檔案是否遭刪除。
亞利桑那州網絡安全部門表示,他們正與各州、地方與原住民機構密切協調,以盤點潛在風險並共享情報。
非營利機構「網絡安全中心」(Center for Internet Security)副總裁藍迪‧羅斯(Randy Rose)表示,該機構已向約100個潛在受害單位發出警示,其中包括多所公立學校與大學。
《華盛頓郵報》指出,這起事件再次引發外界對微軟網絡安全政策的質疑。
去年,由政府與產業專家組成的小組曾批評微軟過度集中設計,導致安全性缺口,並追究其未能阻止中共黑客在2023年入侵美國政府高層電郵,包括時任商務部長雷蒙多(Gina Raimondo)在內。
近期媒體還揭露,微軟長期允許中國工程師支援美國國防部的雲端計劃,引發國防部長海格塞斯(Pete Hegseth)下令全面審查。
