協助保護 SharePoint 免受 CVE-2025-53770 威脅,搭配 LoadMaster WAF 使用

2025年7月19日,微軟 發布了一份客戶建議,關於在其 SharePoint 應用程式中發現的最新漏洞。在一個脆弱且尚未修補的 SharePoint 版本上,攻擊者可以在伺服器上執行任意程式碼,這是一個重大的安全隱患。

由於這個漏洞所引發的影響仍然持續存在,並且在線上持續受到積極利用。SharePoint 的管理員應該儘快更新,如果尚未更新的話,以修補這個嚴重的安全問題。

無法進行更新的管理者會面臨風險。暫時的解決方案是應用虛擬修補程式來防範這個問題。這是一種防禦性臨時措施,可以阻止利用漏洞的嘗試,而不需要改變受影響的軟體。如果立即完全修補 SharePoint 不可行或不切實際,這是理想的選擇。需要明確的是:完全、正確且永久的解決方案是在可以的時候更新 SharePoint。

阻擋漏洞利用

這個完整的遠端程式碼執行漏洞依賴於先利用另一個相關的漏洞 (CVE-2025-53771)。透過向特定的舊版 SharePoint 端點發送特製的 HTTP 請求,可以繞過 SharePoint 的認證檢查,並立即獲得經過認證的存取權。接著,就可以進行遠端程式碼執行攻擊 (CVE-2025-53770)。

Progress Kemp LoadMaster 網頁應用防火牆 (WAF) 功能非常適合檢測特製的認證攻擊嘗試。當 WAF 偵測到網路請求中的惡意組合時,便能進行檢測與阻擋,幫助減輕虛假認證的風險,並降低遠端程式執行的風險。

使用 LoadMaster WAF 的虛擬修補

以下的虛擬補丁可以協助阻擋已知的嘗試,針對 SharePoint 漏洞進行攻擊,這是根據目前已知的最佳資訊提供的:

# vim: set et sw=4 ts=4 tw=80 colorcolumn=81:
# # colorcolumn=81:

#
# -- 虛擬補丁針對 SharePoint 漏洞 CVE-2025-53770/CVE-2025-53771
#
# 遠端代碼執行漏洞利用了一個身份驗證漏洞。偵測並
# 阻擋對受影響的舊版端點的請求,若請求同時包含
# 用於身份驗證漏洞的 Referer 標頭值。
#
# 忽略大小寫的正則表達式模式,以攔截任何可能的大小寫
# 規避行為。
# 最佳努力的轉換管道,捕捉未來可能發現的
# 規避行為(在每個解碼階段後重新執行正則表達式,並使用 multiMatch)。
#
# 參考資料:
#   https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
#   https://blog.cloudflare.com/cloudflare-protects-against-critical-sharepoint-vulnerability-cve-2025-53770/
#
SecRule REQUEST_URI "@rx (?i)layouts/15/ToolPane.aspx" \
    "id:1000,\
    phase:1,\
    deny,\
    t:none,t:utf8toUnicode,t:urlDecodeUni,t:htmlEntityDecode,t:jsDecode,t:cssDecode,t:removeNulls,t:removeWhitespace,t:normalisePath,\
    log,\
    msg:'嘗試利用 SharePoint 漏洞 CVE-2025-53770/CVE-2025-53771.',\
    multiMatch,\
    chain"
    SecRule REQUEST_HEADERS:Referer "@rx (?i)layouts/SignOut.aspx" \
        "t:none,t:utf8toUnicode,t:urlDecodeUni,t:htmlEntityDecode,t:jsDecode,t:cssDecode,t:removeNulls,t:removeWhitespace,t:normalisePath,\
        multiMatch"

應用虛擬補丁

將補丁複製並粘貼到您選擇的文字編輯器中,然後儲存一份副本到本地:

在你的 LoadMaster 解決方案的網頁介面中,前往 網頁應用程式防火牆 > 自訂規則。在 WAF 自訂規則 區塊中,點選 ‘瀏覽’,找到並上傳你的虛擬補丁檔案,然後點選 新增規則集

在 虛擬服務 > 檢視/修改服務 下,點擊 ‘修改’ 來編輯你的 SharePoint 虛擬服務:

展開WAF選項卡。在自訂規則下,勾選虛擬修補檔旁邊的方框以啟用它。然後點擊套用以使虛擬修補生效(注意:這可能會導致在WAF守護進程重新啟動期間,與此虛擬服務的活躍網路連線出現暫時中斷):

如果你之前從未在你的 SharePoint 虛擬服務上使用過 WAF 功能,則需要調整 OWASP CRS WAF 規則,以便它能正確地運作於你的部署環境。

若要略過 WAF 規則調整步驟,僅使用虛擬補丁:

首先,勾選虛擬補丁旁邊的「優先執行」選項,讓它能夠獨立執行。接著,取消勾選所有其他的WAF規則類別,然後點擊「應用」

如何測試

請使用以下的 curl 呼叫來確認虛擬補丁是否正常運作:

$ curl -v "http://192.168.2.30/_layouts/15/ToolPane.aspx" --header "Referer: http://192.168.2.30/_layouts/SignOut.aspx"

成功的封鎖會讓 LoadMaster WAF 立即回傳 403 Forbidden 的回應:

目前有一些公開可用的攻擊工具、測試器以及概念驗證工具,其功能比上述簡單的 curl 呼叫更為複雜。這些工具也可以用來測試 SharePoint 部署是否存在 這個漏洞。

執行第三方漏洞測試工具或腳本時請務必小心,切勿在你不擁有的基礎設施上運行它們。

LoadMaster WAF 及 Enterprise Plus:為您的網頁應用程式增強安全能力

如您對這個 SharePoint 漏洞或如何進行虛擬修補有任何問題或疑慮,請 聯絡 LoadMaster 支援

想要使用 LoadMaster WAF 的功能,但沒有 Enterprise Plus 授權層級嗎?請聯繫您的業務代表,他們將樂意與您討論這個問題。

您是否有其他軟體想要應用虛擬補丁?擁有過時的舊版軟體,已經終止支援且無法正式打補丁?需要一個臨時的虛擬補丁來處理某個漏洞,直到下次維護窗口嗎?LoadMaster WAF 是一個靈活的平台,非常適合支援這些需求—無論是在硬體上、虛擬環境中或是在雲端上。今天就與經驗豐富的 LoadMaster 代表洽談您的 WAF 及安全需求

文章來源: Help Protect SharePoint from CVE-2025-53770 with LoadMaster WAF

You cannot copy content of this page