Microsoft는 CVE-2025-53770 및 CVE-2025-53771의 두 가지 제로 데이 취약점에 대한 긴급 보안 패치를 발행하여 Microsoft SharePoint에 영향을 미쳤습니다. 이러한 결함은 전 세계적으로 “도구 쉘”공격에서 적극적으로 활용되어 54 개 이상의 조직에 영향을 미칩니다.
위협 행위자들이 7 월 패치 화요일 업데이트에서 발표 된 수정 사항을 우회 한 후 취약점이 나타났습니다. 이 초기 업데이트는 5 월 베를린에서 열린 PWN2own 콘테스트에서 처음으로 시연 된 Microsoft SharePoint에서 원격 코드 실행을 허용하는 “도구 쉘”제로 데이 취약성 체인을 해결하기위한 것입니다.
Microsoft는 CVE-2025-53770 및 CVE-2025-53771을 완화하기 위해 Microsoft SharePoint Subscription Edition 및 SharePoint 2019의 대역 외 보안 업데이트를 신속하게 출시했습니다. 이 회사는이 새로운 업데이트가 각각 CVE-2025-49704 및 CVE-2025-49706의 이전 수정과 비교하여 “보다 강력한 보호”를 제공한다고 확인했습니다. Microsoft SharePoint Enterprise Server 2016의 업데이트는 여전히 보류 중입니다.
SharePoint 관리자는 이러한 중요한 업데이트를 즉시 설치하는 것이 좋습니다 : Microsoft SharePoint Server 2019의 경우 KB5002754 및 Microsoft SharePoint 구독판의 경우 KB5002768.
Microsoft는 패치를 적용하는 것 외에도 관리자가 SharePoint Machine 키를 회전 할 것을 촉구합니다. 이것은 PowerShell을 통해 수동으로 수행 할 수 있습니다. Update-SPMachineKey CMDLET 또는 “Machine Key Rotation 작업”타이머 작업을 트리거하여 중앙 관리자를 통한. 회전 후 IIS 재설정 (iisreset.exe) 모든 SharePoint 서버에 권장됩니다.
관리자는 타협 또는 착취 시도의 징후를 위해 로그 및 파일 시스템에 대한 철저한 분석을 수행해야합니다. 주요 표시기에는 파일 생성이 포함됩니다 C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTSspinstall0.aspx및 IIS 로그는 게시물 요청을 보여줍니다 _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx HTTP 참조 자와 함께 _layouts/SignOut.aspx.
Microsoft는 Microsoft 365 Defender Query를 제공하여 spinstall0.aspx 파일:
DeviceFileEvents
| where FolderPath has "MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
이 파일이 발견되면, 위협 행위자가 다른 장치에 대한 액세스를 확장하지 않았는지 확인하기 위해 영향을받는 서버 및 네트워크에 대한 포괄적 인 조사가 중요합니다.
Source: SharePoint Zero-Day 악용, 지금 패치
