零日攻擊蔓延,資安防線備受考驗
隨著全球企業與政府組織高度仰賴數位協作平台,像是 Microsoft SharePoint 等企業核心應用已成為現代辦公生態的基石。然而,這類系統一旦出現「零日漏洞」(Zero-Day Vulnerability),其所引發的連鎖風險可能遠超預期。
【事件背景】
2025 年 7 月,微軟(Microsoft)爆出重大資安事件,旗下 SharePoint Server 被揭露存在兩個零日漏洞(CVE-2025-53770 與 CVE-2025-53771),並已遭具有中國背景的駭客組織利用,成功入侵美國國家機構等等關鍵機構。
根據報導,他們運用一種名為「ToolShell」的惡意工具鏈攻擊 SharePoint Server 並取得內部系統的長期存取權限。駭客可藉此取得敏感文件、部署後門程式,甚至建立C2通道進行橫向滲透。
【實際影響與已知攻擊】
本次事件最具爭議的是攻擊波及美國國家核子安全局(NNSA)與能源部等關鍵基礎設施機構。報導指出,駭客成功竊取部分機密檔案,部分尚未判定是否與核能或武器計畫相關。
根據微軟後續調查與 Microsoft Threat Intelligence 的說明,該攻擊並非大規模入侵,而是經由極具針對性的攻擊所造成。攻擊者極可能先入侵某個合作廠商帳號,再借此進入內部網路。
事件揭露後,美國政府要求所有 SharePoint 使用單位緊急評估環境風險,並在 72 小時內完成修補作業。微軟亦已於 7 月 19 日發布修補更新,並建議未能及時修補的用戶應立刻停用對外連接埠。
【資安啟示與因應建議】
1. 零信任不再是選項,而是基本生存機制
此次事件再度證明傳統網路邊界概念已經失效。即便是政府單位與企業資安團隊,也必須全面導入零信任架構(Zero Trust Architecture, ZTA),透過持續驗證、動態資源存取控管,以及使用者行為分析來降低橫向移動的可能性。
2. 第三方服務與帳號監控是防線破口
若攻擊是從外部供應鏈起始,則加強合作廠商、承包商與跨部門帳號存取權限的控管就更為重要。建議導入整合型 IAM(Identity and Access Management)與供應鏈資安風險評估流程。
3. 提早導入威脅情報與自動化修補
企業可以透過訂閱 CVE Feed等資訊與建置資安情資(開源/商業)平台,並強化漏洞評估與改進企業內部通報機制,經由完整SOP讓資安團隊能有更快的應變。
本次 SharePoint 零日攻擊事件,從國家級駭客組織精準的入侵路徑、微軟產品安全機制的缺失,再到政府單位應變節奏,每一個環節都透露出我們在面對深度複雜威脅時的脆弱。做為資安從業人員,這不僅是一場攻防演練的案例,更是一份對未來網路戰爭(Cyberwarfare)的警訊。
原文出處:
1. Segura® 官方網站 https://segura.security/segura-v4
2. US agency overseeing nuclear weapons breached in Microsoft SharePoint attack https://www.windowscentral.com/microsoft/us-agency-overseeing-nuclear-weapons-breached-in-microsoft-sharepoint-attack?utm_source=chatgpt.com