
SharePoint RCE CVE-2026-45659被纳入CISA KEV
CISA 将影响 Microsoft SharePoint Server 的高危漏洞 CVE-2026-45659 纳入 KEV,原因是已有活跃利用迹象。该漏洞可被已认证攻击者远程代码执行,最低仅需 Site Member 权限。受影响组织应在 2026-07-04 前完成微软补丁修复。
美国网络安全和基础设施安全局(CISA)周三将一个影响 Microsoft SharePoint Server 的高危缺陷加入其已知被利用漏洞(Known Exploited Vulnerabilities, KEV)目录,理由是有证据表明该漏洞正在被主动利用。
该漏洞被编号为 CVE-2026-45659(CVSS 评分:8.8),属于因反序列化不受信任数据而导致的远程代码执行漏洞。微软已在 2026 年 5 月为 SharePoint Server Subscription Edition、SharePoint Server 2019 和 SharePoint Enterprise Server 2016 修复了该问题。
微软指出,任何已认证攻击者都可以触发该漏洞,而且不需要管理员或其他更高权限。在基于网络的攻击中,拥有至少 Site Member 权限(PR:L)的已认证攻击者可利用该漏洞在 SharePoint Server 上远程执行代码。
CISA 表示:“Microsoft SharePoint Server contains a deserialization of untrusted data vulnerability which allows an authorized attacker to execute code over a network,”
根据这家 Windows 厂商的公告,该缺陷被标记为“Exploitation Less Likely”评估。目前尚不清楚该漏洞如何被利用、背后是谁以及这些行动的最终目标是什么。
鉴于存在活跃利用,联邦民事行政部门(FCEB)机构被建议在 2026 年 7 月 4 日前应用修复。
Microsoft Uncovers Parallel Threat Activity from 2 Clusters
上个月底,微软披露,在一次例行 ransomware 调查中发现,同一网络内有两个彼此无关的攻击者同时活动,并采用了刻意的手法来建立持久访问并增加事件响应难度。
其中一组攻击被归因于 Storm-2603,该 threat actor 自 2025 年中以来常通过利用本地部署 SharePoint 服务器中的已知漏洞来部署 Warlock ransomware。
“在此案例中,初始访问很可能是通过另一个独立漏洞尝试获取的;对 win.ini 和 web.config 等文件的请求表明其在探测 local file inclusion,”微软表示。证据指向 CVE-2025-11371(CVSS 评分:9.1),这是一个影响 Gladinet Triofox 的严重缺陷。
在获得初始访问后,该 threat actor 据称部署了 Velociraptor 等工具,以将恶意活动伪装成受信任的管理行为,同时还通过 Cloudflare tunneling、Zoho Assist,以及通过 Visual Studio Code 配置的 Secure Shell(SSH)连接建立了多个远程访问通道。
此次攻击还通过创建新的本地和域管理员账户提升了权限,而一个存在漏洞的驱动程序(“NSecKrnl.sys”)则被用作篡改 endpoint security 防护的通道,以帮助降低其可见性。
与此同时,微软表示还发现第二个无关 threat actor 通过 DLL side-loading 和自定义 backdoor 共存于同一环境中,这使得归因更加困难。
进一步调查发现,攻击者已沿着横向移动越过第一个网络并进入第二个组织,这证实该组织也因归因于 Storm-2603 的同一 ransomware 活动而被入侵。
微软 Incident Response 团队表示:“Together, these overlapping activity streams enabled sustained access while masking the full scope of the intrusion.”“已知 ransomware 战术与隐蔽技术的结合,使 threat actor 能够建立深层且持久的访问。”
“看似单一的 ransomware 事件,可能很快扩展成更复杂的局面——跨组织、混合战术,甚至会有多个 threat actor 并行活动。对于安全团队而言,含义很明确:孤立信号很少能反映全部情况。”