零日攻擊蔓延，資安防線備受考驗
隨著全球企業與政府組織高度仰賴數位協作平台，像是 Microsoft SharePoint 等企業核心應用已成為現代辦公生態的基石。然而，這類系統一旦出現「零日漏洞」（Zero-Day Vulnerability），其所引發的連鎖風險可能遠超預期。

【事件背景】 
2025 年 7 月，微軟（Microsoft）爆出重大資安事件，旗下 SharePoint Server 被揭露存在兩個零日漏洞（CVE-2025-53770 與 CVE-2025-53771），並已遭具有中國背景的駭客組織利用，成功入侵美國國家機構等等關鍵機構。
根據報導，他們運用一種名為「ToolShell」的惡意工具鏈攻擊 SharePoint Server 並取得內部系統的長期存取權限。駭客可藉此取得敏感文件、部署後門程式，甚至建立C2通道進行橫向滲透。

【實際影響與已知攻擊】
本次事件最具爭議的是攻擊波及美國國家核子安全局（NNSA）與能源部等關鍵基礎設施機構。報導指出，駭客成功竊取部分機密檔案，部分尚未判定是否與核能或武器計畫相關。
根據微軟後續調查與 Microsoft Threat Intelligence 的說明，該攻擊並非大規模入侵，而是經由極具針對性的攻擊所造成。攻擊者極可能先入侵某個合作廠商帳號，再借此進入內部網路。
事件揭露後，美國政府要求所有 SharePoint 使用單位緊急評估環境風險，並在 72 小時內完成修補作業。微軟亦已於 7 月 19 日發布修補更新，並建議未能及時修補的用戶應立刻停用對外連接埠。

【資安啟示與因應建議】
1. 零信任不再是選項，而是基本生存機制
此次事件再度證明傳統網路邊界概念已經失效。即便是政府單位與企業資安團隊，也必須全面導入零信任架構（Zero Trust Architecture, ZTA），透過持續驗證、動態資源存取控管，以及使用者行為分析來降低橫向移動的可能性。

2. 第三方服務與帳號監控是防線破口
若攻擊是從外部供應鏈起始，則加強合作廠商、承包商與跨部門帳號存取權限的控管就更為重要。建議導入整合型 IAM（Identity and Access Management）與供應鏈資安風險評估流程。

3. 提早導入威脅情報與自動化修補
企業可以透過訂閱 CVE Feed等資訊與建置資安情資（開源/商業）平台，並強化漏洞評估與改進企業內部通報機制，經由完整SOP讓資安團隊能有更快的應變。

本次 SharePoint 零日攻擊事件，從國家級駭客組織精準的入侵路徑、微軟產品安全機制的缺失，再到政府單位應變節奏，每一個環節都透露出我們在面對深度複雜威脅時的脆弱。做為資安從業人員，這不僅是一場攻防演練的案例，更是一份對未來網路戰爭（Cyberwarfare）的警訊。

原文出處：
1. Segura® 官方網站 https://segura.security/segura-v4
2. US agency overseeing nuclear weapons breached in Microsoft SharePoint attack https://www.windowscentral.com/microsoft/us-agency-overseeing-nuclear-weapons-breached-in-microsoft-sharepoint-attack?utm_source=chatgpt.com

資安公司 Positive Technologies 發現，駭客針對全球至少 65 台 Microsoft Exchange Server 展開攻擊，並成功在 Outlook Web Access（OWA）登入頁植入鍵盤側錄工具（Keylogger），試圖竊取使用者帳號密碼。此次攻擊已持續超過一年，受害範圍涵蓋 26 個國家，其中以越南、俄羅斯與台灣最為嚴重，受害單位包括政府機關、IT 公司、工業與物流業者。
攻擊者透過將惡意 JavaScript 程式碼注入至 OWA 頁面，例如登入按鈕元件，偽裝成正常操作邏輯，誘使使用者在登入時不自覺將帳密資料送出。被側錄的資料會儲存在 Exchange 主機本地特定路徑，或傳送至駭客控制的遠端伺服器。這類攻擊多利用已知但未修補的 Exchange Server 漏洞，包括 CVE-2021-34473、CVE-2021-31207 等，顯示許多組織未定期維護更新系統。
為降低風險，資安專家建議立即修補 Exchange 系統已知漏洞、啟用 MFA 強化登入驗證，並透過網站內容安全政策（CSP）等方式防範惡意程式碼注入。同時，應定期稽核登入頁面完整性，監控可疑的外部請求與異常登入行為，避免帳密資料在未察覺下遭到竊取。此次事件再次凸顯即便是內部應用入口，如 OWA，也可能成為駭客入侵與竊資的破口，企業應全面審視並強化資安防線。
強化漏洞管理與修補機制，避免成為攻擊跳板。 

資安建議：
1. 立即修補漏洞：儘速安裝所有已知 Exchange Server 安全更新（特別是 CVE-2021-34473、CVE-2021-31207 等關鍵漏洞）。
【Atera／IT服務管理解決方案 】 提供的遠端管理平台包括漏洞管理與修補功能，可以自動化修補過程以及進行漏洞掃描，對於中小型企業來說是個便捷的選擇。
2. 導入 WAF 或反惡意行為代理
【Penta Security WAPPLES／WAAP安全解決方案】企業級 Web 應用程式防火牆（WAF），透過行為分析與規則比對技術，辨識並阻擋各種 Web 層攻擊，確保網站與 API 的安全性與合規性。
3. 偵測並阻擋可疑注入或鍵盤側錄活動的 HTTP 流量。
【ESET ／企業資安解決方案】ESET Mail Security 是 ESET 專為 Microsoft Exchange Server、IBM Domino 及 Linux 郵件伺服器 所設計的 電子郵件防護解決方案。ESET Endpoint Security 啟用瀏覽器防護、加密的記憶體防護、鍵盤防護。

原文出處：【iThome新聞】65臺Exchange Server遭鎖定，駭客埋入鍵盤側錄工具，企圖挖掘用戶帳密資料