2025年07月21日，微软发布紧急安全警报，警告其广泛应用于政府与企业内部文件协作的SharePoint服务器（服务器）正遭遇大规模网攻。攻击者利用尚未修补的漏洞，入侵全球多国的政府机构与关键基础设施，引发联邦调查局（FBI）与美国网络安全与基础设施安全局（CISA）紧急介入。

微软已针对SharePoint订阅版（Subscription Edition）发布安全更新，并正为2016与2019年版本开发补丁。微软建议，无法立即部署防护措施的组织，应将服务器断网，直到更新可用为止。

100个不同的组织受影响

两家参与曝光此次网络攻击活动的机构周一（7月21日）表示，截至上周末，针对微软服务器软件的大规模网络间谍活动已入侵约100个不同的组织。

荷兰网络安全公司Eye Security首席黑客瓦伊莎‧伯纳德（Vaisha Bernard）上周五发现了针对其一位客户的黑客攻击活动。该公司表示，与Shadowserver基金会合作进行的互联网扫描总共发现了近100名受害者，这还是在黑客攻击背后的技术被广泛知晓之前。

“这毫无疑问。”伯纳德说道，“谁知道其他对手此后又做了什么，来植入其它后门呢？”

他拒绝透露受影响组织的具体名称，但表示已通知相关国家机构。

Shadowserver基金会也证实了100家机构的受害情况，并表示大多数受影响的机构位于美国和德国，受害者包括政府机构。

攻击手法与漏洞细节

据CISA与资安公司Palo Alto Networks的说法，攻击者利用编号为CVE-2025-53770的“零日漏洞”，可在未授权的情况下远程执行代码，绕过多重身份验证（MFA）与单一登入（SSO）保护，取得服务器的存取权限。

《华盛顿邮报》率先报导了此次网攻行动，指出不明身份的攻击者在过去几日内利用该漏洞，针对美国与国际机构及企业发动攻击。

微软在上周六（7月19日）发出的安全通报中表示，漏洞仅影响组织内部使用的SharePoint服务器，云端版Microsoft 365中的SharePoint Online并未受影响。

CISA发言人玛西‧麦卡锡（Marci McCarthy）表示，上周五（7月18日），一家网络安全研究公司通报了此事，并立即联系微软。

CISA指出，该漏洞为早先已知漏洞“CVE-2025-49706”的一种变种，并将攻击活动被命名为“ToolShell”。

美国联邦调查局（FBI）周日表示，已得知这些攻击事件，正与联邦及私部门合作处理，但未提供更多细节。

Palo Alto Networks技术长迈克尔‧西科尔斯基（Michael Sikorski）向《新闻周刊》（Newsweek）表示，攻击者渗透系统后，会部署持久性后门、窃取敏感数据与加密金钥，并可借此在未来持续重返系统。

“令人特别担忧的是，SharePoint与微软平台紧密整合”，西科尔斯基说，“一旦被攻破，将难以控制——它会打开通往整个网络的大门。”

入侵范围广泛 美欧亚多国机构受害

据资安公司与政府官员透露，这波攻击已影响遍及全球的政府机构与企业用户，包括美国联邦与州政府、能源公司、学术机构、医疗系统，以及欧洲与亚洲的组织。

据荷兰资安公司Eye Security的追踪，该漏洞已引发超过50起入侵事件，其中包括美国一家能源公司和几个欧洲政府机构。研究人员称，至少有两家美国联邦机构的服务器遭入侵，但根据受害者保密协议，他们无法透露具体名称。

据《华盛顿邮报》报导，受害机构还包括西班牙的一个政府机构、美国阿尔伯克基市（Albuquerque）的地方单位、巴西的一所大学，以及一家亚洲电信公司。

目前尚不清楚这波全球性网攻的主谋是谁，其最终目标为何。一家私人研究机构称，黑客同时攻击了中国境内的服务器，以及美国东部某州的议会系统。

美国东部某州的官员透露，黑客已“劫持”该州一个公共文件储存库，该系统原用于向民众公开政府信息，帮助居民了解政府运作。该州目前无法存取这些内容，不清楚档案是否遭删除。

亚利桑那州网络安全部门表示，他们正与各州、地方与原住民机构密切协调，以盘点潜在风险并共享情报。

非营利机构“网络安全中心”（Center for Internet Security）副总裁蓝迪‧罗斯（Randy Rose）表示，该机构已向约100个潜在受害单位发出警示，其中包括多所公立学校与大学。

《华盛顿邮报》指出，这起事件再次引发外界对微软网络安全政策的质疑。

去年，由政府与产业专家组成的小组曾批评微软过度集中设计，导致安全性缺口，并追究其未能阻止中共黑客在2023年入侵美国政府高层电邮，包括时任商务部长吉娜‧雷蒙多（Gina Raimondo）在内。

近期媒体还揭露，微软长期允许中国工程师支援美国国防部的云端计划，引发国防部长皮特‧海格塞斯（Pete Hegseth）下令全面审查。