文章总结: 本文汇总SharePoint漏洞、Linux提权、FatFs物联网缺陷、M365钓鱼及跨平台远控等六大安全风险。建议企业优先修复高危漏洞并收敛暴露面,强化身份审计与终端检测,对IoT设备实施网络隔离与组件管理,防范身份攻击与嵌入式威胁。 综合评分: 88 文章分类: 威胁情报,漏洞预警,IoT安全,终端安全,办公安全
【热点安全风险】7月7日 |SharePoint Server CVE-2026-45659进入KEV,低权限用户可触发远程代码执行
华顺信安威胁情报中心
2026年7月7日 07:30 湖南
在小说阅读器读本章
去阅读
PART.01
风险汇总
风险一:SharePoint Server CVE-2026-45659进入KEV,低权限用户可触发远程代码执行
CISA于7月1日将Microsoft SharePoint Server漏洞CVE-2026-45659加入KEV目录,确认该漏洞已出现真实利用。该漏洞源于不可信数据反序列化,影响SharePoint Server Subscription Edition、SharePoint Server 2019和SharePoint Enterprise Server 2016;具备Site Member等低权限的认证用户即可通过网络触发远程代码执行。对企业而言,本地SharePoint常连接AD、Office文档库、审批流和内部门户,一旦被利用,攻击者可能进一步读取敏感文档、投递持久化组件或作为横向移动入口。
建议排查
- 盘点所有本地部署SharePoint Server实例,确认版本、补丁状态、互联网暴露面和合作伙伴访问入口。
- 检查是否存在异常Site Member账号、异常文档库访问、新增Web部件、计划任务、未知服务和可疑文件写入。
- 回溯7月1日前后SharePoint、IIS、反向代理、WAF和EDR日志,重点关注低权限账号触发的异常服务端行为。
- 对与SharePoint相连的AD、SQL Server、文件共享、OneDrive同步和邮件流转路径做一次权限关系复核。
加固建议
- 立即应用Microsoft官方修复,无法及时修复的外部可达SharePoint应先下线或限制到受控访问路径。
- 对曾经暴露或疑似受影响的实例按已入侵场景进行取证,而不是只完成补丁安装。
- 轮换SharePoint服务账号、应用池账号、集成密钥和高权限站点管理员凭据。
- 对本地SharePoint的文件上传、脚本执行、站点权限变更和管理员操作建立高优先级告警。
参考来源:
https://www.cisa.gov/news-events/alerts/2026/07/01/cisa-adds-one-known-exploited-vulnerability-catalog
风险二:Bad Epoll CVE-2026-46242公开,Linux与Android本地提权风险继续升高
持续发酵原因:继近期多起Linux内核本地提权漏洞公开后,Bad Epoll(CVE-2026-46242)又披露了新的eventpoll use-after-free问题和公开验证材料。该漏洞可让低权限本地用户在受影响Linux内核上提升至root,公开分析还指出其可能从Chrome渲染器沙箱内触发,并影响部分Android场景。对企业服务器、容器宿主机、VDI、浏览器隔离环境和Android专用终端而言,普通落点被放大为系统级权限的风险需要单独处置。
建议排查
- 盘点Linux服务器、容器宿主机、Kubernetes节点、VDI桌面、研发终端和Android专用设备的内核版本。
- 重点确认是否运行6.4及更新分支且尚未包含相关eventpoll修复提交或发行版回补补丁。
- 排查近期低权限账号异常执行提权相关命令、内核崩溃、容器逃逸告警和浏览器沙箱异常行为。
- 对多租户主机、共享研发机、CI Runner、浏览器隔离节点和高风险Web服务落点优先复核本地账号与容器权限。
加固建议
- 按发行版公告升级内核,或采用包含eventpoll修复的上游/稳定分支回补补丁。
- 对无法立即重启的关键主机安排维护窗口,并临时降低本地交互登录、容器特权模式和用户命名空间暴露。
- 收紧容器运行时配置,避免特权容器、宿主路径挂载、宿主网络和不必要的Linux capabilities。
- 将该漏洞纳入入侵后检查清单,发现任意普通权限落点时同步确认内核补丁状态和主机完整性。
参考来源:
https://thehackernews.com/2026/07/new-bad-epoll-linux-kernel-flaw-lets.html
风险三:FatFs七个漏洞披露,IoT、工业控制器和固件更新链面临长期补丁缺口
runZero披露FatFs文件系统库中七个漏洞,涉及FAT、exFAT和GPT解析路径,部分问题可能通过恶意USB/SD卡、存储镜像或固件更新包触发内存破坏、设备崩溃或潜在代码执行。FatFs广泛存在于RTOS、摄像头、工业控制器、无人机、硬件钱包、嵌入式网关和固件更新流程中,且公开信息显示除少数问题外,上游修复链路并不完整,企业很难只靠常规服务器漏洞扫描发现影响范围。
建议排查
- 盘点IoT、OT、边缘网关、摄像头、门禁、工控控制器、无人机、硬件安全模块和自研嵌入式产品是否内置FatFs。
- 重点检查使用Espressif ESP-IDF、STM32Cube、Zephyr、MicroPython、ArduPilot、RT-Thread、Mbed、TizenRT、SWUpdate等生态的设备。
- 识别哪些设备会自动挂载USB、SD卡、维护介质或通过FAT/exFAT格式处理固件更新包。
- 对近期异常重启、升级失败、设备变砖、存储介质读写异常和现场维护记录进行回溯。
加固建议
- 向设备厂商索取FatFs版本、受影响判断和修复计划,不能只依赖通用资产扫描结果。
- 在修复前限制现场设备的USB/SD卡接入权限,禁止未验证介质进入生产、园区和工控环境。
- 对固件更新包增加签名校验、来源校验、离线审批和失败回滚机制,避免恶意镜像进入更新链。
- 自研固件应审计FatFs封装代码,重点检查文件名、卷标、文件大小、分区表和缓存处理边界。
参考来源:https://www.runzero.com/blog/fatfs-bugs/
风险四:ARToken暴露EvilTokens关联面板,Microsoft 365设备码钓鱼向BEC运营平台演进
Cisco Talos披露ARToken钓鱼即服务平台,该平台与EvilTokens生态存在明显关联,暴露出面向Microsoft 365的完整操作面板和80多个API端点。公开分析显示,该平台可围绕设备码钓鱼、Primary Refresh Token持久化、Outlook邮箱访问、SharePoint/OneDrive文件访问和BEC操作形成一套自动化流程。对企业来说,风险重点在于攻击者可能通过合法Microsoft登录页面绕过普通MFA认知,并在获取Token后保持较长时间访问。
建议排查
- 在Entra ID日志中排查设备码认证、Primary Refresh Token异常刷新、非常用客户端和异常地理位置登录。
- 检查Outlook是否存在新增转发规则、隐藏/删除规则、异常关键字监控、异常附件下载和异常代发邮件。
- 回溯SharePoint和OneDrive中的异常批量下载、共享链接创建、外部协作邀请和敏感文件访问。
- 关注财务、采购、法务、HR和高管助理账号是否收到发票、付款、合同、共享文档类异常诱导邮件。
加固建议
- 禁用或严格限制不必要的设备码登录流程,对高风险用户和关键应用启用更强的条件访问策略。
- 对PRT异常、OAuth授权、邮箱规则变更、SharePoint批量访问和OneDrive外链创建建立联动告警。
- 对财务付款、供应商银行账号变更、合同附件替换和发票确认增加独立渠道核验。
- 对疑似被钓鱼账号执行会话吊销、Token失效、密码轮换、MFA重绑和邮箱规则清理。
参考来源:
https://blog.talosintelligence.com/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365/and-mitigating-device-code-phishing-attacks/
风险五:QuimaRAT以MaaS方式提供跨平台远控能力,Windows、Linux和macOS终端需同步监测
LevelBlue披露QuimaRAT是一款Java基础的跨平台远控木马,以MaaS模式销售,支持Windows、Linux和macOS环境,并配套Builder、Loader和Dropper等组件。公开资料显示,其可通过多种文件格式和浏览器缓存投递方式落地,具备持久化、命令执行、文件传输、凭据窃取、剪贴板操作和摄像头监控等能力。由于其面向多系统平台,企业不能只在Windows终端侧建立检测,还需要覆盖开发机、Linux桌面、macOS办公终端和跨平台Java运行环境。
建议排查
- 在终端侧排查异常Java进程、未知JAR执行、可疑LNK/HTA/VBS/JS/BAT/DOCM/XLSM文件和浏览器缓存加载行为。
- 检查Windows Run键、计划任务、启动目录,Linux .desktop自启动、crontab,macOS LaunchAgent是否存在未知持久化项。
- 监测终端是否出现非常规TCP/WebSocket/TLS/HTTPS长连接、Pastebin类动态配置访问和未知C2域名。
- 对研发终端、财务终端、客服终端、跨平台办公终端和远程办公设备优先排查凭据、剪贴板和文件访问异常。
加固建议
- 对Java运行环境、脚本解释器和办公宏执行建立最小化策略,非业务必需终端禁止未知JAR与脚本直接运行。
- 启用EDR对跨平台持久化位置、浏览器缓存执行链、异常Java子进程和远控行为的检测。
- 对下载目录、临时目录、浏览器缓存目录和用户脚本目录中的执行行为建立高优先级告警。
- 对疑似受影响终端轮换浏览器、邮件、云平台、代码仓库、VPN和SaaS凭据。
参考来源:
https://thehackernews.com/2026/07/new-java-based-quimarat-maas-built-to.html
风险六:NetNut住宅代理网络被打击,企业需关注IoT设备被代理化和身份攻击溯源失真
Google、FBI、Lumen等联合行动扰动NetNut/Popa住宅代理网络,公开资料显示该网络涉及至少约200万台被感染设备,包括Android设备、智能电视和流媒体盒子。GTIG称该类网络被多个威胁集群用于隐藏来源、密码喷洒和访问受害环境。对企业而言,这类住宅代理会让身份攻击、扫描、撞库、邮件钓鱼和云登录看起来像来自普通家庭网络,降低传统IP信誉和地理位置风控的准确性;同时企业园区和会议室IoT设备也可能被恶意SDK或木马纳入代理网络。
建议排查
- 检查企业登录日志中来自住宅宽带、移动网络、异常ASN和高频低速密码尝试的身份攻击活动。
- 排查园区、会议室、门店、宿舍、展厅中的Android TV、机顶盒、广告屏、投屏盒、摄像头和其他IoT设备外联行为。
- 检查DNS、代理、NDR和防火墙日志中是否存在异常代理SDK、未知C2域名、持续出站隧道或非业务端口连接。
- 对供应商交付的智能屏、广告设备、会议设备和预装应用进行软件来源、权限和更新能力复核。
加固建议
- 将IoT和办公终端网络分区,禁止IoT设备访问内网敏感系统、身份平台和管理后台。
- 对设备应用安装、固件更新、外联域名和出站流量建立白名单,发现异常代理流量及时隔离。
- 身份风控不只依赖IP信誉,应结合设备指纹、登录行为、客户端类型、会话历史和风险评分。
- 对高风险账号启用抗钓鱼MFA、条件访问和异常登录阻断,降低住宅代理绕过地理限制的效果。
参考来源:
https://cloud.google.com/blog/topics/threat-intelligence/google-continued-disruption-residential-proxy-networks
PART.02
总体处置建议
总结
今天企业应优先关注三条风险线:SharePoint在野利用与Linux本地提权带来的补丁和取证压力,FatFs与IoT代理网络暴露出的嵌入式资产治理缺口,以及Microsoft 365钓鱼、QuimaRAT远控带来的身份和终端持久化风险。使用本地SharePoint、Linux/Android终端、IoT/OT设备、Microsoft 365和跨平台终端的企业,建议把今天的处置重点放在补丁闭环、外部暴露面收敛、Token与会话审计、嵌入式组件追踪和IoT网络隔离上。
整体风险处置建议
- 以SharePoint CVE-2026-45659和Bad Epoll为优先项建立修复清单,先处理外部可达、低权限用户可访问和多租户资产。
- 对IoT、OT、边缘设备和固件更新链建立组件级台账,重点追踪FatFs等嵌入式基础库的供应商修复状态。
- 对Microsoft 365设备码登录、PRT刷新、OAuth授权、邮箱规则和SharePoint/OneDrive批量访问建立统一监测。
- 对Windows、Linux、macOS终端统一检测未知Java远控、脚本投递、持久化项和异常C2通信。
- 对园区IoT与会议设备实施网络隔离、出站白名单和异常代理流量检测,避免被住宅代理网络利用。
- 对今天涉及的高风险资产保留至少30天关键日志,发现异常时同步执行凭据轮换、会话吊销和横向移动排查。
合规说明
以上内容基于公开信息整理,仅用于网络安全防护与管理决策参考,具体影响范围与修复方式请以厂商官方公告为准。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:华顺信安威胁情报中心 《【热点安全风险】7月7日 |SharePoint Server CVE-2026-45659进入KEV,低权限用户可触发远程代码执行》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论