微软SharePoint高危漏洞遭在野利用

发布时间 2026-07-06
1. 微软SharePoint高危漏洞遭在野利用


7月2日,美国网络安全和基础设施安全局(CISA)发布紧急警告,攻击者已开始积极利用微软SharePoint平台中的一个高危远程代码执行漏洞(编号CVE-2026-45659)。该漏洞源于对不受信任数据的反序列化处理缺陷,允许拥有最低权限的经过身份验证的攻击者,在无需用户交互的情况下,以较低的攻击复杂度在未打补丁的SharePoint服务器上远程执行任意代码。微软在漏洞公告中明确指出,任何经过身份验证的攻击者均可触发此漏洞,无需管理员或更高权限,且攻击可经由网络远程发起,甚至通过互联网直接实施,危害范围广泛。微软已于5月21日发布针对SharePoint Enterprise Server 2016、SharePoint Server 2019及SharePoint Server订阅版的安全更新以修复该问题,并承认该CVE编号曾在5月安全更新中被意外遗漏。互联网安全监控机构Shadowserver的追踪数据显示,目前全球有超过1万台SharePoint服务器暴露于公网,但尚不清楚其中有多少已部署补丁或采取缓解措施抵御持续攻击。


https://www.bleepingcomputer.com/news/security/cisa-microsoft-sharepoint-rce-flaw-now-actively-exploited/


2. 谷歌联手FBI重创NetNut僵尸网络


7月2日,谷歌宣布,已通过切断与NetNut命令控制操作相关的谷歌账户及服务,对该全球规模最大的住宅代理僵尸网络之一造成严重打击。据谷歌威胁情报小组估计,该僵尸网络至少感染了全球200万台家用设备,涵盖智能电视、流媒体盒子等常见家庭终端。在行动过程中,GTIG观察到多达316个不同的威胁集群,包括网络犯罪集团和间谍组织,利用该网络掩盖真实IP地址并发动密码喷洒等攻击活动。此次联合行动由谷歌与FBI、Lumen Technologies及其他合作伙伴协同执行。谷歌表示,已向执法部门、平台提供商及研究机构共享了关于NetNut软件开发工具包(SDK)和后端基础设施的详细技术情报。NetNut住宅代理网络(亦称“Popa”)通过将消费者家庭的普通设备转化为出口节点,使攻击者能够购买这些IP资源来隐匿自身流量来源。运营商通常将恶意代码植入看似合法的应用程序,或通过预装恶意软件的非官方联网设备侵入家用终端,而用户往往在不知情的情况下下载了包含隐藏代理代码的应用。除了以自有品牌销售网络访问权限,NetNut还运营着规模庞大的经销商计划,允许第三方对其网络进行白标定制。


https://cybernews.com/news/google-fbi-disrupt-netnut-botnet-2-million-devices/


3. 美国工业巨头UPS遭Chaos勒索软件攻击


7月2日,工业服务公司Universal Plant Services(UPS)近日被列入暗网Chaos勒索软件团伙的泄密网站,成为该组织的最新攻击目标。这家总部位于德克萨斯州的企业是北美旋转和往复式设备服务领域的领先企业,为全美约700家客户提供专业服务,年收入高达6.15亿美元。攻击者声称已窃取该公司大量敏感数据,并以此作为要挟发布“最后通牒”,这是勒索软件团伙的常见手段,旨在通过公开泄露受害者数据来迫使其支付赎金。据攻击者公布的清单,被窃数据范围极为广泛,涵盖了全面审计报告、税务申报文件(含ADP系统数据)、工资单信息、银行交易记录、现金管理报告等财务核心数据,以及员工的社会安全号码、家庭住址、出生日期和保密健康记录等高度敏感的个人信息。此外,被盗数据还包括详细分包合同、保密协议、客户档案、许可文件、内部机械报告、专有采购数据(涉及能源服务企业Ethos Energy)、质量控制协议以及项目提案等涉及公司运营和商业机密的各类文档。截至目前,Universal Plant Services尚未就此事公开回应。


https://cybernews.com/universal-plant-services-chaos-ransomware/


4. 荷兰Avans大学Power BI配置失误致数据泄露


7月2日,荷兰Avans应用科技大学近日披露了一起严重的数据泄露事件,涉及该校名为AMIGO的管理应用程序。该应用程序基于微软Power BI平台构建,主要用于管理包含学生入学率、辍学率等教育统计信息的数据集。事件起因于2025年6月30日微软对其云环境中实施的一项配置变更,该变更无意中允许了未经授权的用户检索可追溯到具体个人的敏感数据。然而,这一安全漏洞直到近一年后的2026年6月8日才被该校一名员工发现。发现后,Avans大学立即采取了补救措施,并按照荷兰数据保护法规向该国数据保护机构提交了正式报告。尽管该校明确承认泄露的信息属于敏感个人数据,但出于对受影响者隐私的保护,校方拒绝公开具体涉及哪些类型的数据字段。Avans在专门设立的披露页面上表示,所有相关当事人已于2026年6月30日收到亲自送达的通知,校方已向他们详细说明了涉及的个人数据类型。目前,学校已启动内部调查,安全研究人员将重点探究为何该漏洞存在如此长时间才被发现,近一年的暴露期暴露出学校在数据监控和管控工具方面存在的严重不足,研究人员同时也在研究如何改进相关工具以防止类似事件重演。


https://cybernews.com/security/dutch-university-data-breach-microsoft-power-bi/


5. 2026世界杯成钓鱼诱饵,定制邮件传播Voidrift病毒


7月2日,网络安全公司Cofense Intelligence近日披露,一场围绕2026年FIFA世界杯展开的活跃网络钓鱼活动正在全球范围内扩散,其目的是传播名为Voidrift的复杂恶意软件。据研究人员分析,该诈骗活动始于一封高度定制化的电子邮件,邮件声称通过伪造的与国际足联及受害者所在公司的合作关系,向员工提供独家世界杯纪念T恤。为领取这件看似诱人的礼品,收件人被要求下载一份注册表格,然而实际下载并安装的却是Voidrift恶意软件,攻击者借此获得对受害者企业网络的初始访问权限,进而窃取业务数据、监视公司活动或入侵敏感的企业账户。此次攻击的危险性在于其高度的针对性和隐蔽性。每封钓鱼邮件均根据收件人的姓名及其所属公司量身定制,甚至连宣传图片中的T恤都印有对应公司的标志,使得邮件极具迷惑性,员工很难将其与普通的营销推广区分开来。更令人担忧的是,Cofense确认该攻击活动已成功绕过了三种广泛部署的安全电子邮件网关Cisco IronPort、Microsoft ATP和Abnormal Security,这意味着传统的自动化邮件安全控制措施在面对此类攻击时完全失效。


https://cybernews.com/security/hackers-fifa-world-cup-2026-football-voidrift-malware/


6. ARToken平台:微软365账户的新威胁


7月3日,思科Talos团队近期发现了一个名为“ARToken”的新型网络钓鱼即服务(PhaaS)平台,该平台与先前记录的EvilTokens钓鱼系统高度关联,为安全研究人员揭示了当前针对Microsoft 365环境的最先进攻击工具包。在对事件响应活动中涉及的基础设施进行深入调查时,Talos识别出一个基于React构建的“ARToken Panel”管理面板,其暴露了超过80个API端点,通过对客户端JavaScript代码的逆向工程,研究人员发现该平台的功能远超常规钓鱼服务,它不仅能够窃取Microsoft 365身份验证令牌,还能利用主刷新令牌(PRT)建立持久化访问,从而全面控制受害者的Outlook邮箱、SharePoint站点和OneDrive文件。该平台的核心攻击机制依托于微软的OAuth 2.0设备授权授予流程,即“设备代码钓鱼”,受害者被诱导在微软官方登录页面输入合法设备代码,使得认证令牌直接颁发给攻击者,从而有效绕过多重身份验证(MFA)保护。


https://www.bleepingcomputer.com/news/security/artoken-phaas-exposes-eviltokens-microsoft-365-phishing-toolkit/