事件概述
7 月中旬,CISA 更新安全提醒称,多个 Microsoft SharePoint Server 漏洞已经被攻击者用于入侵面向互联网开放的本地 SharePoint 实例。此次提醒中明确提到的在野利用漏洞包括 CVE-2026-32201、CVE-2026-45659、CVE-2026-56164 和 7 月 16 日新增进入 KEV 目录的 CVE-2026-58644;另外,CVE-2026-55040 虽然尚未被确认在野利用,但微软已将其列为如果不修复会带来较高风险的问题。

这类事件之所以值得中小企业、站长和运维团队关注,是因为 SharePoint Server 往往承载文档协作、内部流程、项目资料和账号权限入口。一旦被攻击者拿到未授权访问能力,后续风险不只是一台 Web 服务器被打穿,还可能扩展到身份认证、内部文件、IIS 配置、持久化后门和横向移动。
影响范围与新增事实
根据 CISA 公告,这批漏洞影响受支持的本地 SharePoint Server 版本,包括 SharePoint Server Subscription Edition、SharePoint Server 2019 和 SharePoint Server 2016。攻击者可借助相关漏洞获得对本地 SharePoint Server 实例的未授权访问,并进一步建立远程代码执行条件,开展窃取 IIS machine keys、反序列化利用、部署恶意软件等后渗透活动。
SecurityWeek 和 BleepingComputer 对微软 2026 年 7 月补丁星期二的报道也提到,本月微软修复规模非常大,其中 SharePoint Server 与 Active Directory Federation Services 的零日漏洞已被攻击者利用。对企业而言,真正的难点不是“有没有补丁”这么简单,而是公网暴露、历史漏洞未修、机器密钥可能已泄露、日志不足等因素叠加后,单纯安装补丁未必能完全消除已经发生的入侵痕迹。
为什么公网 SharePoint 风险更高
SharePoint 的业务价值在于协作,但安全风险也来自“协作入口”。很多企业为了方便远程办公、分支机构访问或外部伙伴协同,会把 SharePoint Server 直接暴露在公网。只要漏洞进入稳定利用阶段,攻击者就可以批量扫描互联网资产,优先尝试未修复、配置较弱或日志缺失的实例。
这一次 CISA 特别强调不要在非必要情况下直接把 SharePoint Server 暴露到互联网。如果确实有外部访问需求,应放在具备认证、请求检查和过滤能力的七层反向代理或同等级应用层安全控制之后。对没有专职安全团队的企业来说,这条建议很关键:边界系统一旦既面向公网又承载身份和文档数据,就不能只按普通内网站点的标准维护。
攻击风险与常见入侵链条
公开资料显示,此类 SharePoint 攻击通常不会止步于“访问一个页面”。攻击者可能先利用漏洞绕过认证或提升权限,再通过远程代码执行落地 WebShell、读取配置、窃取 IIS 保护的机密材料,甚至获取 machine keys 后维持对 ViewState 等机制的利用能力。也就是说,如果系统已经被利用,后续即使补上漏洞,也需要检查攻击者是否留下持久化入口。
对运维人员来说,排查重点应放在异常请求、SharePoint worker process 异常行为、可疑 ASPX 文件、IIS 日志、Windows 事件日志、杀毒告警、计划任务、服务项和近期新增账号等位置。若发现可疑痕迹,不建议急着只做重启或简单删除文件,而应先保全日志和样本,再按组织的应急响应流程处理。
修复与缓解建议
第一步是尽快从微软官方渠道安装最新 SharePoint Server 安全更新,并确认更新安装成功。补丁部署前应备份配置和关键数据,在测试环境或维护窗口内验证兼容性;如果是生产环境,升级、重启 IIS 或重启服务器都应提前评估业务影响,避免在高峰期直接操作导致协作系统中断。
第二步是启用并检查 SharePoint Web 应用的 AMSI 集成。CISA 建议在可行情况下使用 Full Mode 的 Request Body Scan Mode,并结合 Microsoft Defender Antivirus 相关检测项排查 Exploit:Script/ToolPaneAuthBypass、Exploit:Script/SuspSignoutReqBody、Backdoor:MSIL/LeakFang 等可疑活动。不同版本支持能力不同,实际配置应以微软官方文档为准。
第三步是降低暴露面。公网访问不是绝对不能做,但应通过七层反向代理、身份认证、WAF 或等效应用层控制进行保护;SharePoint Central Administration 不应对外开放;服务器场、数据库、管理端口之间的通信只允许必要系统访问。对部署在云服务器上的业务,还应同时检查安全组、ACL、负载均衡和源站回源策略,确保管理面没有被误暴露。
如果企业把 SharePoint、OA、文档系统或业务后台部署在云上,日常也应把资产清单、快照备份、日志留存和访问控制纳入运维基线。像 速维云云服务器 这类基础设施承载业务时,服务器本身只是起点,安全组最小开放、系统补丁、Web 服务日志、备份回滚和账号权限才是长期稳定运行的关键。
排查清单:补丁之后还要看什么
对于已经公网暴露过的 SharePoint Server,建议把“是否已安装补丁”与“是否已被入侵”分开处理。补丁可以阻断已知漏洞入口,但不能自动清除已经落地的后门、已泄露的密钥或被创建的账号。CISA 也提醒,在轮换 IIS machine keys 前,应先搜寻并清理可能窃取密钥的入侵痕迹,否则新密钥仍可能再次被拿走。
一份相对保守的检查清单包括:确认 SharePoint 与 Windows 更新状态;检查服务器是否仍直接暴露在公网;审计 IIS 与 SharePoint 日志中的异常路径、异常 User-Agent 和异常 POST 请求;检查近期新增或修改的 ASPX、配置文件、计划任务和服务;检查管理员组、服务账号和数据库权限变化;确认备份可用且未被攻击者覆盖。涉及密钥轮换、账号禁用、服务重启等动作时,应先留存证据、备份配置并评估业务影响。
后续观察
SharePoint 漏洞频繁进入 KEV 目录,说明攻击者仍然把企业协作平台视为高价值入口。与普通网站漏洞相比,协作平台更容易接触身份、文档和内网资源,一旦被攻破,影响往往跨越 Web、Windows、域环境和数据库多个层面。
接下来一段时间,企业需要持续关注微软 MSRC、CISA KEV、厂商安全公告和主流安全团队分析。如果组织仍在使用 SharePoint Server 2016 或 2019,还应特别关注生命周期和迁移计划。安全工作不只是追补丁编号,而是要把公网暴露面、日志可观测性、备份恢复和应急流程一起补齐。











