Microsoft近日发布报告指出,多个与中国政府有关的黑客组织利用名为“ToolShell”的漏洞链,对全球多家机构的SharePoint服务器发动攻击。这一未公开的零日漏洞(CVE-2025-49706和CVE-2025-49704),最早由Eye Security公司侦测到,至今已造成至少54家企业和政府机构遭到入侵,受害者遍及多家跨国公司及国家机构。
Microsoft方面表示,Linen Typhoon、Violet Typhoon以及Storm-2603等中国背景的威胁组织陆续被发现利用这些漏洞,攻击集中在政府、通信和软件等行业。此外,Check Point也证实攻击行动自7月初起活跃,影响范围已扩展至北美和西欧。
目前,Microsoft已为受影响的SharePoint版本(Subscription Edition、2019、2016)紧急发布补丁,并新增CVE-2025-53770和CVE-2025-53771两个编号。与此同时,CISA已将CVE-2025-53770列入已知高风险漏洞目录,要求美国联邦机构尽快修补。
目前,一个针对该漏洞的PoC(概念验证)工具已在GitHub上公开,这为威胁扩散带来更大隐忧。安全专家呼吁相关企业及时更新系统以避免被利用。