CVE-2025-53770 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反序列化不受信任数据（ViewState）。<br>💥 **后果**：导致**远程代码执行 (RCE)**，服务器被完全接管。

🔍 **CWE-502**：反序列化不受信任的数据。<br>🎯 **缺陷点**：利用窃取的 ASP.NET `machineKey` 对 ViewState 进行不安全反序列化。

🏢 **厂商**：Microsoft（微软）。<br>📦 **产品**：Microsoft SharePoint Server（特别是 **On-premises/本地部署** 版本，如 2016）。

👑 **权限**：最高权限（System/Admin）。<br>📂 **数据**：可执行任意代码，窃取敏感配置（如 machineKey），部署后门（如 spinstall0.aspx）。

🚪 **门槛极低**。<br>🔓 **无需认证**：攻击者无需登录即可通过网络发起攻击。

🔥 **有现成 Exp**。<br>🌍 **在野利用**：微软确认已在野外发现利用活动（代号 **ToolShell**）。

🔎 **检测特征**：<br>1. 扫描是否存在持久化 Webshell `spinstall0.aspx`。<br>2. 检查配置中是否泄露敏感 `machineKey`。<br>3. 使用 Nuclei 模板或 Bluefire 工具集扫描。

🛠️ **官方态度**：微软正在准备全面更新补丁。<br>⚠️ **现状**：补丁尚未完全发布，但已提供**缓解措施**文档。

🛡️ **临时规避**：<br>立即实施微软 CVE 文档中提供的**缓解措施**。<br>🚫 限制对 SharePoint 服务器的外部访问。

🆘 **极度紧急**。<br>📊 **CVSS 9.8**（严重）。<br>💡 **建议**：立即排查后门文件，应用缓解措施，等待官方补丁。