
SharePoint Server 三項漏洞俾人利用緊:自建系統即刻更新兼查入侵
CISA 警報只指自建版本,2016/2019 同日終止支援
先分清邊個受影響
CISA 喺 7 月 14 日警告,有人正利用三項漏洞攻擊機構自行管理嘅 SharePoint Server 2016、2019 同 Subscription Edition。如果公司淨係用 Microsoft 365 入面嘅 SharePoint Online,今次唔喺受影響清單;要即刻郁手嘅係有 Windows、IIS 同 SharePoint farm 要自己維護嗰班 IT。香港公司、學校同醫療機構用緊自建版本一樣有風險,不過暫時未見香港受害數字,唔應該估個攻擊規模。
三項漏洞各有唔同入口
| CVE | 能力同攻擊門檻 | 最低修補 build:2016/2019/Subscription Edition |
|---|---|---|
| CVE-2026-32201 | 偽冒同資料篡改;唔使登入,亦唔使有人撳連結 | 16.0.5548.1003/16.0.10417.20114/16.0.19725.20210 |
| CVE-2026-45659 | 反序列化 RCE;攻擊者要先登入,最低有 Site Member 權限 | 16.0.5552.1002/16.0.10417.20128/16.0.19725.20280 |
| CVE-2026-56164 | 關鍵功能漏咗驗證,可以提升權限;唔使登入或 user 配合 | 16.0.5561.1001/16.0.10417.20175/16.0.19725.20434 |
三項漏洞嘅能力唔同,CISA 今次將三項漏洞一併列入警報,並指攻擊後續涉及 RCE、偷取 IIS machine key、反序列化同植入惡意程式。排修補次序時,應該先睇漏洞係咪已經有人利用,CVSS 分數只作參考:CVE-2026-56164 得 5.3 分,但已經有人用緊,排喺一個未見攻擊嘅高分漏洞後面會出事。
2025 ToolShell 提醒咗 machine key 有幾麻煩
2025 年 ToolShell 牽涉 CVE-2025-49704、CVE-2025-49706 同後續漏洞;今次警報列出另一批 2026 CVE,不過防守難題好相似。攻擊者如果偷到 ASP.NET/IIS machine key,修補入口後仍可用條舊 key 整出 server 會信嘅 payload,繼續行 code。CISA 仲點名 CVE-2026-55040 同 CVE-2026-58644:前者係 9.1 分驗證繞過,後者係 9.8 分 RCE,暫時未確認有人利用,7 月累積更新已包埋相關修補。
更新要做足成個 farm
| 版本 | 7 月 14 日目標 build | 要裝嘅 KB |
|---|---|---|
| Subscription Edition | 16.0.19725.20434 | KB5002882 |
| SharePoint Server 2019 | 16.0.10417.20175 | KB5002883、KB5002885 |
| SharePoint Server 2016 | 16.0.5561.1001 | KB5002891、KB5002892 |
SharePoint 更新係累積式,2016/2019 要同時裝 STS 同 WSSLOC 語言更新,英文 farm 都一樣;Subscription Edition 就係單一套件。先備份同安排維護時段,跟住更新 farm 入面每部 server,再逐部跑 SharePoint Products Configuration Wizard 或 PSConfig,最後檢查 upgrade log、database 狀態同 (Get-SPFarm).BuildVersion。用緊 SharePoint Workflow Manager 嘅 farm,KB 頁面要求先裝 KB5002799,唔好直接跳過相依更新。
查清楚先換 machine key
先保留 IIS、ULS、AMSI 同 Defender 記錄,再搵異常 request、webshell、可疑 SharePoint worker process、machine key 讀取同突然出現嘅程式。CISA 列出嘅偵測名包括 Exploit:Script/SuspSignoutReqBody.A、Exploit:Script/ToolPaneAuthBypass.A、Exploit:Script/ToolPaneAuthBypass.C 同 Backdoor:MSIL/LeakFang.A!dha。任何一項命中都應隔離相關 server、保留證據同清走入侵痕跡,唔好當普通防毒誤報關掉。
確認 machine-key harvester 同其他後門已經清乾淨,先至輪換 key。 更新後嘅 farm 可以手動觸發 Machine Key Rotation Job,或者用 Microsoft 支援嘅 Set-SPMachineKey 做 farm-wide 更新;唔好淨係改單一 node,否則負載平衡之下會出現 key 唔同步。過早換 key 亦冇用,仍然留喺 server 嘅 harvester 只會再偷一次新 key。
AMSI 同網上曝光都要一齊執
逐個 SharePoint web application 確認 AMSI 開緊,同時更新 Defender 或其他 AMSI 引擎嘅 signatures。Subscription Edition 25H1 可以把 Request Body Scan 設成 Full Mode;2016/2019 至少要確保 request header 掃描正常。如果唔使由外網直接連入 SharePoint,就應該收返個對外入口;真係要公開,就擺喺會先驗證身份同檢查 request 嘅 Layer 7 reverse proxy 後面,封鎖外部存取 Central Administration,再限制 farm server 同 database 之間嘅通訊。
2016/2019 修補完都要開始搬
Microsoft 生命週期寫明 SharePoint Server 2016 同 2019 喺 2026 年 7 月 14 日終止支援,之後冇新保安更新同官方技術支援。今次 7 月更新只係最後防線,唔會延長產品壽命。留喺自建環境可以升去 Subscription Edition;Microsoft 指定用 database-attach,先起新 farm,再搬同升級 database,所以自訂 solution、workflow、驗證、Search、SQL 同 Windows Server 相容性都要預先測試。仲用緊 2016/2019 嘅機構,今日就要一邊修補,一邊定實遷移時間表。
參考來源
- iThome — CISA警告新一波鎖定SharePoint資安漏洞的攻擊活動,呼籲用戶儘速強化防護 — original report
- CISA Urges SharePoint Hardening After New Exploitations — 官方警報,確認三項遭利用漏洞、偵測名、machine key 處理次序同加固建議
- Microsoft:CVE-2026-45659 — 確認 Site Member 前置權限、RCE 性質、CVSS 同修補資料
- Microsoft:CVE-2026-56164 — 確認無登入攻擊條件、提升權限、AMSI 建議同 fixed build
- Microsoft:CVE-2026-55040 — 確認新公開驗證繞過漏洞嘅風險同攻擊門檻
- Microsoft:CVE-2026-58644 — 確認新公開 RCE 漏洞、分數同修補狀態
- Microsoft SharePoint updates — 官方更新紀錄,確認 7 月 KB、build、累積更新同語言套件規則
- Microsoft:Ending Support in 2026 — 確認 SharePoint Server 2016/2019 終止支援日期同之後冇保安更新
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







