Microsoft SharePoint 重大資安漏洞:CVE-2025-53770、CVE-2025-53771 深度分析與主動防禦

Microsoft SharePoint 重大資安漏洞:CVE-2025-53770、CVE-2025-53771 深度分析與主動防禦

企業內 Microsoft SharePoint 伺服器的 CVE-2025-53770 和 CVE-2025-53771 漏洞是從先前已修補的漏洞演化而來,可讓駭客不須經過驗證就能利用進階反序列化技巧與濫用 ViewState 物件從遠端執行程式碼。

⭕️ 重點摘要

  • CVE-2025-53770 和 CVE-2025-53771 是企業內 Microsoft SharePoint 伺服器的漏洞,可讓駭客上傳惡意檔案並擷取加密金鑰。
  • 這些漏洞是從先前修補過的 CVE-2025-49704 和 CVE-2025-49706 漏洞進一步演化而來,廠商當初的矯正並不完全,所以讓駭客能透過進階的反序列化技巧並濫用 ViewState 物件來繞過認證機制,從遠端執行程式碼 (RCE)。
  • 我們已看到駭客在各種產業試圖發動相關的漏洞攻擊,包括:金融、教育、能源及醫療。
  • Microsoft 已針對 SharePoint Subscription Edition 和 SharePoint Sever 2019 發布了安全更新,至於 SharePoint Sever 2016 則尚未發布修補更新。Trend Micro™ TippingPoint™ 的客戶自 2025 年 5 月起便已獲得防護來防範相關攻擊。


⟫ 完整文章

假 CAPTCHA 攻擊行動藉由多重階段程序在系統植入資訊竊取程式與遠端存取工具 (RAT)
我們發現了一種使用假的 CAPTCHA 真人驗證網頁來誘騙使用者在 Windows 上執行有害指令的最新手法,這起行動會透過網路釣魚和其他惡意方式來散播偽裝的惡意檔案。

深入了解 PLeak:系統提示洩漏演算技巧
PLeak 是什麼?它有哪些相關風險? 本文探討這項演算技巧,以及它如何被駭客用於 LLM 越獄,藉此操弄系統並竊取機敏資料。

  • 本文深入探討 Prompt Leakage (PLeak) 提示洩漏的概念,並設計一些用來越獄的系統提示字串、探索其可移轉性,並在安全機制下驗證其效果。PLeak 可讓駭客攻擊系統的弱點,進而洩漏機敏資料,例如商業機密。
  • 凡是目前正在導入或考慮在工作流程中使用大語言模型 (LLM) 的企業,都必須提高警覺以防範提示洩漏攻擊。
  • 企業可採取一些步驟來主動保護自己的系統,例如:對抗訓練與建立提示分類器。此外,企業也可考慮利用 Trend Vision One™ – Zero Trust Secure Access (ZTSA) 這類解決方案來避免雲端服務不小洩漏機敏資料或輸出不安全的內容。此外,這套解決方案還能應付 GenAI 系統的風險以及針對 AI 模型的攻擊。
隨著 AI 重塑現代軟體架構,企業必須重新思考其安全策略,從被動防禦轉向主動預測和即時反應,以確保在利用 AI 創造價值的同時,能有效管理風險。
聽聽趨勢科技執行長暨共同創辦人陳怡樺(Eva Chen)怎麼說?
請參閱完整的白皮書:《The Intelligent Stack: Industry Briefing》

善用 Cyber Risk Advisory 資安風險顧問服務來強化資安
為了讓資安計畫能與業務的目標一致,企業正面臨越來越大的壓力,而且還必須將抽象的資安風險、資安事件的潛在衝擊,以及資安投資的價值有效地傳達給利害關係人了解。為了證明資安的投資報酬 (ROI),資安人員需要全方位掌握企業的風險狀況、曝險情勢,以及資安事件對業務的潛在衝擊。趨勢科技的 Cyber Risk Advisory 服務能解決這些挑戰,提供明確、可化為行動的洞見來改善資安成效、符合法規標準,並且主動防範風險。


趨勢科技為何能持續獲選為 CNAPP 領導者?

趨勢科技憑藉著我們的 CNAPP 功能與產品策略備獲肯定,這項榮耀肯定了我們致力提供雲端防護解決方案來預測、保護及回應混合雲與多重雲端環境威脅的願景。

ReportsJun 27, 2025

為何一個典型的 MCP 伺服器漏洞會破壞您的整個 AI 代理?

光靠一個小小的 Anthropic SQLite MCP 伺服器 SQL 資料隱碼攻擊 (SQL Injection) 漏洞,就可以讓駭客植入預先儲存的提示、將資料外傳,並且駭入整個 AI 代理工作流程,而這漏洞已經被分支複製了 5,000 多次。本文說明其攻擊過程,並提供一些具體的修正方法來加以防範。

複製、編譯、入侵:Water Curse 在 GitHub 上設下開放原始碼惡意程式陷阱

  • 一個新發現的駭客集團 Water Curse 將 GitHub 變成了散布多重階段惡意程式的武器庫。至少有 76 個 GitHub 帳號與這起攻擊行動有關,他們將惡意程式內嵌在建構腳本與專案檔案中。
  • 這些惡意程式可以讓駭客將資料 (如登入憑證、瀏覽器資料、連線階段金鑰) 外傳、進行遠端存取,以及長期常駐在受害系統上。Water Curse 的攻擊行動對軟體供應鏈帶來了風險,尤其是平常有在使用開放原始碼工具的網路資安人員、遊戲開發人員,以及 DevOps 團隊。
  • 請務必確實檢查紅隊演練、DevOps 及開發人員環境所使用的開放原始碼工具,尤其是取自 GitHub 的工具。在使用之前,請先檢查其建構檔案、腳本和儲存庫的歷史記錄。
  • Trend Vision One™ 已經可以偵測並攔截本文討論到的入侵指標 (IoC)。如需進一步了解趨勢科技解決方案如何協助您獲得有關 Water Curse 這類威脅的詳細情境,請參閱本文最後一節。
繼續閱讀

【資安新聞週報】Microsoft SharePoint 重大資安漏洞/Meta隱私破口,AI對話全被內部看光光/Google起訴BadBox 2.0揭中國背景殭屍網路

Microsoft SharePoint也爆出CVE-2025-53770 與 CVE-2025-53771 兩項高風險漏洞,恐讓駭客遠端執行任意程式碼,企業需立即部署修補與防禦機制。Meta被揭AI對話內容恐遭內部窺視,隱私破口令人震驚;Google對中國背景的殭屍網路BadBox 2.0提告,展現對抗境外資安威脅的決心;Chrome則宣布撤銷中華電信憑證,8月1日生效,恐衝擊台灣大量用戶連線體驗。另一方面,Facebook個資外洩案雖以80億美元求償和解,但信任已難挽回;台灣知名徵信社工程師竟暗網買個資來「抓姦」,超過9,300萬筆資料外洩,更讓人警覺資料濫用的真實存在。
同時,勒索軟體Bert強制關閉VMware虛擬機並多執行緒加密檔案,企業防線岌岌可危;DNS TXT記錄被濫用作為惡意程式藏身之所,顯示駭客手法持續翻新;麥當勞的AI徵才工具爆出6,400萬筆應徵者資料可能外洩,凸顯AI應用與資安風險間的矛盾。更令人擔憂的是,20款熱門App(包含FB與YouTube)被揭私下蒐集並回傳使用者資料至母公司,個資無所遁形;而追星族也難倖免,假冒「拓元」的來電詐騙橫行,甚至連身分證字號都遭掌握。資安威脅早已滲透日常生活,我們不只是使用者,更是攻擊目標。此刻,比科技更重要的,是警覺與防備。

⭕️ 資安趨勢部落格精選

⭕️ 本週十大資安重點新聞

繼續閱讀

中獎簡訊太老派?現在詐騙連「看A片要驗證財力」都來了/AI變聲與偽冒LINE暱稱,假親友詐騙再升級

【打詐週報】現在的詐騙,早已不只是「騙你錢」,而是「利用你生活中的每一個習慣」。
AI 變聲假冒親友、情趣電商被列為高風險平台、LINE帳號一個連結就被駭,甚至連你要搶演唱會門票、買公仔、看影片,都可能是一場局。

這週,我們整理出五大詐騙熱點,從生活、通訊、娛樂到情色,詐團無孔不入。
不是你變天真了,是他們變聰明了——
一起提升警覺,守住你的帳號、存款與信任。

本週最受關注五大詐騙新聞

1️⃣ AI變聲與同親友暱稱,假冒親友詐騙再升級

歹徒利用 AI 變聲與更改相同暱稱冒充親友,專挑長輩下手。
這是「猜猜我是誰」詐騙的進化版,讓人防不勝防。

繼續閱讀

Slopsquatting:當 AI代理幻覺遇上惡意套件

本文探討 AI 程式設計助理如何因幻覺而生成出一些看似合理但實際上卻不存在的套件名稱,進而衍生能讓駭客預先設下陷阱的「slopsquatting」攻擊。此外,本文也提供一些企業可用來保護開發流程的實務策略。

下載這份技術摘要

主要重點

  • Slopsquatting 是現代化 AI 驅動軟體開發流程的一項供應鏈威脅,起因於 AI 程式設計代理因為幻覺而生成一些看似合理但實際上卻不存在的套件名稱,使得駭客有機會預先設下陷阱來散播惡意程式。
  • 儘管進階程式設計代理與工作流程,如:Claude Code CLI、OpenAI Codex CLI 以及 Cursor AI 搭配 MCP 作後端驗證,有助於降低幽靈相依元件 (phantom dependencies) 的風險,但仍無法徹底根除,因為就算即時驗證也無法捕捉每一種邊緣案例。
  • 常見的失敗情況包括:填補情境漏洞與模仿表面形式,也就是 AI 代理根據使用者的意圖與符合統計的慣例而捏造出看似合理的套件名稱,卻沒有確實檢查套件名稱是否真的存在。
  • 防範這類威脅需要從多重管道下手,結合最佳實務原則 (例如透過軟體物料清單來追蹤源頭)、自動化漏洞掃描、在沙盒模擬環境內測試安裝、即時驗證套件,以及人員監督,如此才能真正保護 AI 驅動的開發流程。

想像一下這樣的情境:您的開發時程相當緊迫,但您擁有一套可靠的 AI 程式設計助理來自動幫您完成函式撰寫、推薦可用相依元件,甚至幫您即時呼叫 pip 安裝指令。您正深深沉醉在所謂的「氛圍程式設計」(vibe coding) 開發流程當中,在 AI 的協助下,您的點子幾乎豪不費力就變成了程式碼,感覺就好像在變魔術一樣,直到一切突然停止運作。

在研究過程當中,我們曾看到一個進階 AI 代理自豪地無中生有了一個看似完全合理的套件名稱,但隨後卻在程式實際組建時發生「找不到模組」的窘境。然而更令人擔憂的是,這些幽靈套件說不定已經存在於 PyPI 當中,因為某個駭客已經註冊了這些套件名稱,等著開發人員上鉤,自己將惡意程式碼帶入工作流程當中。

圖 1:AI 代理幻想出一個根本不存在的套件名稱 (上演 slopsquatting)。

對 AI 開發人員來說,這些暫時性的錯誤不單只是造成不便而已,而是一種新式供應鏈攻擊的機會之窗。當 AI 代理幻想出不存在的相依元件或安裝未經檢查的套件時,就等於為slopsquatting 創造了機會,因為駭客會在公開登錄上預先註冊這些幻想出來的名稱。

本文探討這些幻覺是如何出現在進階 AI 代理當中,並說明其潛在的影響,提供企業一些維護開發流程安全以防範類似威脅的行動建議。

何謂 slopsquatting?

繼續閱讀

【資安新聞週報】AI幫詐騙團寫信、做分工:我們正在對抗的是一個「自動化犯罪集團」

當你以為資安威脅只是「電腦病毒」那麼簡單,詐騙集團早已用AI寫信、偽造聲音、製作假官網,甚至一步步設計劇本騙光你的錢。本週十大資安新聞揭露:從YouTube假廣告彈窗、Google Workspace與ChatGPT漏洞、到LINE假警察指導你「錯過救援時機」,每一則都在提醒我們——資訊安全早已不只是IT的責任,而是你我日常生活的一部分。面對多段式詐騙與AI深偽技術,唯有掌握最新手法與自保知識,才能在資訊洪流中不被攻破。

⭕️ 資安趨勢部落格精選

⭕️ 本週十大資安重點新聞

✅ 1.假廣告騙點擊!YouTube冒出「中毒警告彈窗」騙人掃毒
→ 詐騙廣告進軍影音平台,點下去就掉坑!

✅ 2.Google Workspace重大漏洞!一鍵總結變成釣魚工具
→ 郵件摘要功能遭濫用,小心一點就中招!

✅ 3.瀏覽器外掛又出包!230萬次下載的18款擴充程式含惡意程式碼
→ 用得越多,風險越高!

繼續閱讀