文章总结: CVE-2025-53770是影响本地部署版SharePointServer的高危远程代码执行漏洞,PoC及技术细节已公开,大幅提升未打补丁环境被利用风险。攻击者通过滥用PerformancePointBI服务中ExcelDataSet控件的XML模式处理,绕过验证实现RCE。建议立即应用微软补丁、启用AMSI集成并轮换MachineKey值以降低风险。 综合评分: 86 文章分类: 漏洞分析,威胁情报,漏洞预警,安全建设
SharePoint远程代码执行漏洞PoC及技术细节公开
FreeBuf
2026年7月9日 18:32 上海
在小说阅读器读本章
去阅读
针对本地部署版Microsoft SharePoint Server中的高危远程代码执行(RCE)漏洞(CVE-2025-53770),研究人员现已公开概念验证(PoC)利用代码及深度技术细节。该漏洞的披露大幅提高了未打补丁的SharePoint环境遭快速武器化及大规模利用的风险。
Part01
漏洞技术分析
CVE-2025-53770是SharePoint处理特制数据源时存在的不可信数据反序列化缺陷,允许未经身份验证的攻击者通过网络执行任意代码。该漏洞影响本地部署的SharePoint Server 2016、2019及订阅版,但Microsoft 365 SharePoint Online不受影响。
微软在发布初始紧急补丁后,又推送了第二个修复补丁,新增TypeNameParserImpl组件以改变DataSet对象类型名称的解析方式,专门解决泛型类型处理问题。
Part02
PoC利用原理
越南Viettel Cyber的最新研究表明,攻击者仍可通过滥用PerformancePoint BI服务使用的ExcelDataSet控件中的XML模式处理实现RCE。攻击针对/_vti_bin/PPS/PPSAuthoringService.asmx终端的BIMonitoringAuthoringService网络服务,该服务暴露了用于验证数据源连接的TestConnection方法。
当传递SourceName=”ExcelWorkbook”的DataSource对象至该API时,SharePoint会使用XmlSerializer将dataSource.CustomData字段反序列化为ExcelDataSet实例,随后访问ExcelDataSet.DataTable。Viettel Cyber Security发现该漏洞通过利用XML模式导入处理方式绕过XmlValidator,使非安全类型通过验证。
微软的DataSetSurrogateSelector将输入限制为”XmlSchema”和”XmlDiffGram”并运行XmlValidator以确保仅使用允许的类型。但XmlValidator仅检查主XmlSchema字符串。攻击者通过嵌入引用外部XSD的xs:import和xs:include元素,强制.NET XmlSchema预处理器从攻击者控制的HTTP服务器拉取额外模式。由于XmlValidator不检查导入的模式,外部XSD中的恶意类型定义不会被拦截。
Part03
攻击链实现
PoC利用此缺陷定义指向复杂泛型类型链的msdata:DataType,最终指向System.Web.UI.LosFormatter和System.Windows.Data.ObjectDataProvider——这两个已知的反序列化工具可在输入受控载荷时执行任意代码。攻击者构造匹配的XmlDiffGram载荷填充包含恶意com:pwn元素的行,diffgram实例化ExpandedWrapper对象后调用LosFormatter.Deserialize处理攻击者提供的数据,最终触发RCE。
运行时调用栈流经BinarySerialization.Deserialize()及从压缩base64字符串重建对象的辅助例程,最终抵达SharePoint PerformancePoint堆栈中的ExcelDataSet.get_DataTable()、ExcelDataSourceProvider.SetDataSource()、DataSourceRegistry.GetDataSource()和ServerHelper.TestDataSourceConnection()。
Part04
实际攻击场景
PoC演示了使用低权限站点成员账户实现完整利用:攻击者首先创建SharePoint列表和项目,随后启动托管外部模式文件(如common.xsd)的HTTP服务器;构造调用TestConnection的SOAP请求,设置SourceName=”ExcelWorkbook”并在CustomData字段嵌入恶意ExcelDataSet XML和diffgram;将Location ItemUrl指向以ID和人工后缀(如/sites/zdi/Lists/test/1_.123)结尾的列表项URL以满足服务正则检查。请求处理完成后,SharePoint服务器上会生成如win32calc.exe的进程,实现可靠的远程代码执行。
Part05
安全建议
安全厂商已确认CVE-2025-53770在野利用,并观察到针对SharePoint的大规模ToolShell攻击活动。此类详细工具链和模式导入技术的公开可能加速模仿攻击。建议运行本地SharePoint的组织立即采取应急措施:应用微软最新补丁、启用AMSI集成、轮换ASP.NET MachineKey值,并对暴露服务器上可疑的PerformancePoint和ViewState活动进行威胁狩猎。
参考来源:
PoC and Technical Details Released for SharePoint Remote Code Execution Vulnerability
PoC and Technical Details Released for SharePoint Remote Code Execution Vulnerability
推荐阅读
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
电报讨论
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FreeBuf 《SharePoint远程代码执行漏洞PoC及技术细节公开》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论