前言5 月最后一周安全研究人员连续披露了多个高危漏洞其中三个对服务器安全构成了直接威胁CVE-2026-45659CVSS 8.8Microsoft SharePoint Server 反序列化漏洞低权限的站点成员即可构造恶意数据包远程执行代码完全接管服务器。影响 SharePoint 2016、2019 和订阅版CVE-2026-40369Windows 内核本地提权漏洞已授权的攻击者可提权至 SYSTEM实现本地完全控制Apache CXF 三个高危漏洞LDAP 注入 XXE 攻击 远程代码执行影响多个版本的企业级 Web 服务框架。三个漏洞放在一起看构成了一条非常清晰的攻击链通过 SharePoint RCE 获得初始访问 → 通过 Windows 内核提权获取 SYSTEM 权限 → 通过 Apache CXF 漏洞横向移动到后端服务。三步走完攻击者从互联网上的一个请求变成了企业内网中的最高权限用户。本文逐一拆解这三个漏洞的技术原理然后讨论服务器防护中的几个常见盲区。一、CVE-2026-45659SharePoint 反序列化 RCE漏洞原理SharePoint 的反序列化漏洞不是一个新品类——过去几年出现过多个类似的漏洞CVE-2020-1147、CVE-2021-31181、CVE-2022-29972根因几乎都出在 SharePoint 使用BinaryFormatter或LosFormatter对用户提供的序列化数据做反序列化时没有对类型做白名单限制。CVE-2026-45659 延续了这一模式但有个关键变化它不需要管理员或站点所有者权限站点成员级别的低权限用户就足以触发。这意味着规模但凡大一点的 SharePoint 部署内部有成百上千个站点成员任何一个人的账号被钓鱼攻击者就能拿到 SharePoint 服务器的命令执行权限。攻击路径攻击者获取一个站点成员账号钓鱼/凭据填充/信息泄露 ↓ 登录 SharePoint 站点 ↓ 向 /_layouts/15/xxx.aspx 发送带有恶意序列化数据的 POST 请求 ↓ SharePoint 后端使用 LosFormatter 反序列化该数据 ↓ 反序列化过程中触发恶意对象的构造函数 → 执行任意命令 ↓ 攻击者获得 SharePoint 应用程序池账户的权限 ↓ 在服务器上建立持久化后门这一步完成后攻击者拥有的是 IIS 应用程序池账户的权限——通常是IIS APPPOOL\SharePoint在网络服务和本地管理员之间。要获得 SYSTEM 权限还需要一次本地提权。代码视角反序列化为什么危险反序列化攻击的本质是“类型复活”——当你反序列化一个对象时.NET 运行时会调用这个对象的构造函数、属性设置器和终结器。如果攻击者构造的对象在反序列化过程中会执行代码你反序列化的那一刻就已经被攻击了。// 攻击者构造的恶意对象简化示意[Serializable]publicclassExploitGadget{// 属性设置器在反序列化时自动调用publicstringCommand{set{// 攻击者的命令在反序列化的一瞬间执行System.Diagnostics.Process.Start(cmd.exe,value);}}}SharePoint 没有限制哪些类型可以被反序列化没有类型白名单所以攻击者可以利用 .NET 框架中已有的Gadget Chain来触发代码执行。二、CVE-2026-40369Windows 内核提权技术细节这个漏洞位于 Windows 内核的 IOCTL 处理流程中。当用户态程序通过DeviceIoControl向内核驱动发送请求时内核驱动在验证用户提供的缓冲区指针时存在一个边界条件错误。正常的流程是用户态程序 → DeviceIoControl(手柄, 控制码, 输入缓冲区指针, ...) ↓ 内核驱动 → ProbeForRead(输入缓冲区指针) → 验证缓冲区是否在用户态地址空间 ↓ 验证通过 → 处理 IOCTL 请求CVE-2026-40369 的漏洞在于ProbeForRead 验证了缓冲区指针是否为有效的用户态地址但没有验证缓冲区中的内容是否可以被用户态程序在竞态条件下修改。这就产生了一个 TOCTOUTime-of-Check-Time-of-Use窗口时刻 T1ProbeForRead 验证通过 窗口期 用户态程序修改缓冲区内容将合法的地址替换为内核地址 时刻 T2内核驱动使用缓冲区中的数据此时已经指向了内核地址空间攻击者利用这个窗口可以让内核驱动读取或写入内核地址空间中的任意位置最终实现从普通用户到 SYSTEM 的权限提升。实际利用效果这个漏洞和 SharePoint RCE 形成了完美的配合SharePoint RCECVE-2026-45659 → 获得 IIS APPPOOL\SharePoint 权限低权限服务账户 → Windows 内核提权CVE-2026-40369 → 获得 NT AUTHORITY\SYSTEM 权限系统最高权限 → 完全控制服务器两枪命中服务器沦陷。三、Apache CXF三个漏洞一条链漏洞清单Apache CXF 是一个广泛部署的企业级 Web 服务框架大量用于 Java 技术栈的 SOAP/REST 服务开发。5 月下旬披露的三个漏洞漏洞类型影响原理LDAP 注入绕过身份认证未授权访问 Web 服务CXF 的 LDAP 认证模块在处理用户输入时没有对特殊字符如(、)、*做转义攻击者可以修改 LDAP 查询语义XXE 攻击读取服务器文件、发起 SSRFCXF 的 XML 解析器配置允许解析外部实体攻击者在 SOAP 请求中嵌入恶意 DTD远程代码执行执行任意命令组合 LDAP 注入 XXE通过 JNDI 注入实现 RCE利用链这三个漏洞不是独立的——攻击者可以串起来用第一步发送恶意 SOAP 请求其中包含 XXE payload ↓ XML 解析器加载外部 DTD 第二步通过 XXE 读取服务器上的配置文件/etc/passwd、数据库配置等 ↓ 获得服务器内部信息 第三步利用 LDAP 注入修改认证查询以管理员身份登录 ↓ 获得 CXF 服务的管理权限 第四步通过 JNDI 注入加载远程恶意类 ↓ 远程代码执行Apache CXF 应用通常作为企业内部 Web 服务的中间层连接前端应用和后端数据库。攻击者拿下 CXF 之后等于获得了一个通往所有后端系统的代理。四、服务器防护的三个盲区三个漏洞暴露了三个共性的防护盲区。盲区一只关注 Web 应用忽视底层组件很多企业的安全扫描覆盖了自研的 Web 应用代码但没有覆盖到 SharePoint、CXF 这些中间件和框架。这些组件一旦有漏洞影响范围比一个自研应用的漏洞大得多。定期更新不是可选的维护窗口——5 月 29 日微软已经发布了 CVE-2026-45659 的补丁。如果补丁安装了本文中讨论的攻击链在第一步就断了。盲区二补丁没有覆盖全量资产比不打补丁更常见的是不知道哪些服务器上有易受攻击的组件。一家 500 人的公司可能有 200 台运行着 SharePoint 的服务器——有些是正式的生产环境有些是某个部门自己搭的测试环境。后者可能三年没打过补丁。漏洞管理的第一步不是修补是资产发现——你必须先知道自己有哪些东西要修。盲区三服务器允许执行任意程序这是 SharePoint RCE 能够造成伤害的关键前提。攻击者通过反序列化拿到命令执行能力之后他做的第一件事可能是下载一个后续载荷——调用certutil或powershell从外网拉取恶意文件。如果服务器启用了应用程序白名单——只有 SharePoint 自身的可执行文件和必要的系统组件可以运行——这个后续载荷根本无法落地。即使存在 RCE攻击者也做不了更多的事情。五、三层加固方案第一层操作系统登录安全服务器应该强制要求双因素认证。不管是 Windows Server 的 RDP 登录还是 Linux 的 SSH 登录密码加动态口令是底线。如果 SharePoint 的 IIS 应用程序池账户被攻击者获取但攻击者无法通过 RDP 登录到服务器本身进行进一步操作——他手里有一把钥匙但进不了门。对于工业控制、军事指挥、电力调度等需要离线运行的场景双因素认证需要支持离线验证模式——服务器不联网也能校验 OTP不依赖外部认证服务。第二层进程管控服务器上能运行什么程序应该由管理员明确指定。没有被明确允许的——即使是攻击者通过 SharePoint RCE 下载的——一律拒绝执行。进程管控不是杀毒软件不依赖签名匹配。它的逻辑是不在白名单里的就不准运行和恶意软件长什么样无关。已知的、未知的、还没有签名的零日恶意程序——只要不在白名单里就不准跑。第三层文件/数据库透明加密如果前两层防线都被突破了——攻击者通过 SharePoint RCE 拿到了命令执行权限绕过了进程白名单开始批量导出文件——那最后一道防线是加密。透明加密的意思是数据在写入磁盘时自动加密在读取时自动解密。对应用程序包括 SharePoint 和攻击者执行的恶意命令来说数据看起来是明文的——因为操作系统在 I/O 层做了加解密。但对直接访问磁盘的攻击者来说数据是密文的。如果攻击者尝试通过copy命令把文件复制到外网复制出去的是加密文件。没有密钥的攻击者拿到这些文件也毫无意义。六、对照验证攻击步骤登录加固进程管控透明加密SharePoint RCE → 获得代码执行✅ 攻击者无法 RDP 登录✅ 下载的恶意载荷无法运行△ RCE 阶段不涉及文件导出内核提权 → SYSTEM 权限N/A已在系统内✅ 即使 SYSTEM 权限也无法运行白名单外的程序△批量导出数据N/AN/A✅ 导出的是加密数据离开服务器无法解密总结SharePoint RCE Windows 提权 Apache CXF 三重漏洞构成了一条从互联网到服务器 SYSTEM 权限的完整攻击链。打补丁是第一优先但不是唯一的事。登录加固、进程管控、数据加密——这些是补丁之外的纵深防线。补丁解决的是已知漏洞能不能被利用纵深防线解决的是漏洞被利用之后的伤害有多大。 话题讨论你们公司的服务器有没有做双因素登录和进程白名单补丁管理是怎么覆盖全量资产的欢迎评论区交流实战经验。
SharePoint 反序列化漏洞拿下 CVSS 8.8 + Windows 内核提权:五月高危漏洞集中爆发,服务器防护还有哪些盲区
前言5 月最后一周安全研究人员连续披露了多个高危漏洞其中三个对服务器安全构成了直接威胁CVE-2026-45659CVSS 8.8Microsoft SharePoint Server 反序列化漏洞低权限的站点成员即可构造恶意数据包远程执行代码完全接管服务器。影响 SharePoint 2016、2019 和订阅版CVE-2026-40369Windows 内核本地提权漏洞已授权的攻击者可提权至 SYSTEM实现本地完全控制Apache CXF 三个高危漏洞LDAP 注入 XXE 攻击 远程代码执行影响多个版本的企业级 Web 服务框架。三个漏洞放在一起看构成了一条非常清晰的攻击链通过 SharePoint RCE 获得初始访问 → 通过 Windows 内核提权获取 SYSTEM 权限 → 通过 Apache CXF 漏洞横向移动到后端服务。三步走完攻击者从互联网上的一个请求变成了企业内网中的最高权限用户。本文逐一拆解这三个漏洞的技术原理然后讨论服务器防护中的几个常见盲区。一、CVE-2026-45659SharePoint 反序列化 RCE漏洞原理SharePoint 的反序列化漏洞不是一个新品类——过去几年出现过多个类似的漏洞CVE-2020-1147、CVE-2021-31181、CVE-2022-29972根因几乎都出在 SharePoint 使用BinaryFormatter或LosFormatter对用户提供的序列化数据做反序列化时没有对类型做白名单限制。CVE-2026-45659 延续了这一模式但有个关键变化它不需要管理员或站点所有者权限站点成员级别的低权限用户就足以触发。这意味着规模但凡大一点的 SharePoint 部署内部有成百上千个站点成员任何一个人的账号被钓鱼攻击者就能拿到 SharePoint 服务器的命令执行权限。攻击路径攻击者获取一个站点成员账号钓鱼/凭据填充/信息泄露 ↓ 登录 SharePoint 站点 ↓ 向 /_layouts/15/xxx.aspx 发送带有恶意序列化数据的 POST 请求 ↓ SharePoint 后端使用 LosFormatter 反序列化该数据 ↓ 反序列化过程中触发恶意对象的构造函数 → 执行任意命令 ↓ 攻击者获得 SharePoint 应用程序池账户的权限 ↓ 在服务器上建立持久化后门这一步完成后攻击者拥有的是 IIS 应用程序池账户的权限——通常是IIS APPPOOL\SharePoint在网络服务和本地管理员之间。要获得 SYSTEM 权限还需要一次本地提权。代码视角反序列化为什么危险反序列化攻击的本质是“类型复活”——当你反序列化一个对象时.NET 运行时会调用这个对象的构造函数、属性设置器和终结器。如果攻击者构造的对象在反序列化过程中会执行代码你反序列化的那一刻就已经被攻击了。// 攻击者构造的恶意对象简化示意[Serializable]publicclassExploitGadget{// 属性设置器在反序列化时自动调用publicstringCommand{set{// 攻击者的命令在反序列化的一瞬间执行System.Diagnostics.Process.Start(cmd.exe,value);}}}SharePoint 没有限制哪些类型可以被反序列化没有类型白名单所以攻击者可以利用 .NET 框架中已有的Gadget Chain来触发代码执行。二、CVE-2026-40369Windows 内核提权技术细节这个漏洞位于 Windows 内核的 IOCTL 处理流程中。当用户态程序通过DeviceIoControl向内核驱动发送请求时内核驱动在验证用户提供的缓冲区指针时存在一个边界条件错误。正常的流程是用户态程序 → DeviceIoControl(手柄, 控制码, 输入缓冲区指针, ...) ↓ 内核驱动 → ProbeForRead(输入缓冲区指针) → 验证缓冲区是否在用户态地址空间 ↓ 验证通过 → 处理 IOCTL 请求CVE-2026-40369 的漏洞在于ProbeForRead 验证了缓冲区指针是否为有效的用户态地址但没有验证缓冲区中的内容是否可以被用户态程序在竞态条件下修改。这就产生了一个 TOCTOUTime-of-Check-Time-of-Use窗口时刻 T1ProbeForRead 验证通过 窗口期 用户态程序修改缓冲区内容将合法的地址替换为内核地址 时刻 T2内核驱动使用缓冲区中的数据此时已经指向了内核地址空间攻击者利用这个窗口可以让内核驱动读取或写入内核地址空间中的任意位置最终实现从普通用户到 SYSTEM 的权限提升。实际利用效果这个漏洞和 SharePoint RCE 形成了完美的配合SharePoint RCECVE-2026-45659 → 获得 IIS APPPOOL\SharePoint 权限低权限服务账户 → Windows 内核提权CVE-2026-40369 → 获得 NT AUTHORITY\SYSTEM 权限系统最高权限 → 完全控制服务器两枪命中服务器沦陷。三、Apache CXF三个漏洞一条链漏洞清单Apache CXF 是一个广泛部署的企业级 Web 服务框架大量用于 Java 技术栈的 SOAP/REST 服务开发。5 月下旬披露的三个漏洞漏洞类型影响原理LDAP 注入绕过身份认证未授权访问 Web 服务CXF 的 LDAP 认证模块在处理用户输入时没有对特殊字符如(、)、*做转义攻击者可以修改 LDAP 查询语义XXE 攻击读取服务器文件、发起 SSRFCXF 的 XML 解析器配置允许解析外部实体攻击者在 SOAP 请求中嵌入恶意 DTD远程代码执行执行任意命令组合 LDAP 注入 XXE通过 JNDI 注入实现 RCE利用链这三个漏洞不是独立的——攻击者可以串起来用第一步发送恶意 SOAP 请求其中包含 XXE payload ↓ XML 解析器加载外部 DTD 第二步通过 XXE 读取服务器上的配置文件/etc/passwd、数据库配置等 ↓ 获得服务器内部信息 第三步利用 LDAP 注入修改认证查询以管理员身份登录 ↓ 获得 CXF 服务的管理权限 第四步通过 JNDI 注入加载远程恶意类 ↓ 远程代码执行Apache CXF 应用通常作为企业内部 Web 服务的中间层连接前端应用和后端数据库。攻击者拿下 CXF 之后等于获得了一个通往所有后端系统的代理。四、服务器防护的三个盲区三个漏洞暴露了三个共性的防护盲区。盲区一只关注 Web 应用忽视底层组件很多企业的安全扫描覆盖了自研的 Web 应用代码但没有覆盖到 SharePoint、CXF 这些中间件和框架。这些组件一旦有漏洞影响范围比一个自研应用的漏洞大得多。定期更新不是可选的维护窗口——5 月 29 日微软已经发布了 CVE-2026-45659 的补丁。如果补丁安装了本文中讨论的攻击链在第一步就断了。盲区二补丁没有覆盖全量资产比不打补丁更常见的是不知道哪些服务器上有易受攻击的组件。一家 500 人的公司可能有 200 台运行着 SharePoint 的服务器——有些是正式的生产环境有些是某个部门自己搭的测试环境。后者可能三年没打过补丁。漏洞管理的第一步不是修补是资产发现——你必须先知道自己有哪些东西要修。盲区三服务器允许执行任意程序这是 SharePoint RCE 能够造成伤害的关键前提。攻击者通过反序列化拿到命令执行能力之后他做的第一件事可能是下载一个后续载荷——调用certutil或powershell从外网拉取恶意文件。如果服务器启用了应用程序白名单——只有 SharePoint 自身的可执行文件和必要的系统组件可以运行——这个后续载荷根本无法落地。即使存在 RCE攻击者也做不了更多的事情。五、三层加固方案第一层操作系统登录安全服务器应该强制要求双因素认证。不管是 Windows Server 的 RDP 登录还是 Linux 的 SSH 登录密码加动态口令是底线。如果 SharePoint 的 IIS 应用程序池账户被攻击者获取但攻击者无法通过 RDP 登录到服务器本身进行进一步操作——他手里有一把钥匙但进不了门。对于工业控制、军事指挥、电力调度等需要离线运行的场景双因素认证需要支持离线验证模式——服务器不联网也能校验 OTP不依赖外部认证服务。第二层进程管控服务器上能运行什么程序应该由管理员明确指定。没有被明确允许的——即使是攻击者通过 SharePoint RCE 下载的——一律拒绝执行。进程管控不是杀毒软件不依赖签名匹配。它的逻辑是不在白名单里的就不准运行和恶意软件长什么样无关。已知的、未知的、还没有签名的零日恶意程序——只要不在白名单里就不准跑。第三层文件/数据库透明加密如果前两层防线都被突破了——攻击者通过 SharePoint RCE 拿到了命令执行权限绕过了进程白名单开始批量导出文件——那最后一道防线是加密。透明加密的意思是数据在写入磁盘时自动加密在读取时自动解密。对应用程序包括 SharePoint 和攻击者执行的恶意命令来说数据看起来是明文的——因为操作系统在 I/O 层做了加解密。但对直接访问磁盘的攻击者来说数据是密文的。如果攻击者尝试通过copy命令把文件复制到外网复制出去的是加密文件。没有密钥的攻击者拿到这些文件也毫无意义。六、对照验证攻击步骤登录加固进程管控透明加密SharePoint RCE → 获得代码执行✅ 攻击者无法 RDP 登录✅ 下载的恶意载荷无法运行△ RCE 阶段不涉及文件导出内核提权 → SYSTEM 权限N/A已在系统内✅ 即使 SYSTEM 权限也无法运行白名单外的程序△批量导出数据N/AN/A✅ 导出的是加密数据离开服务器无法解密总结SharePoint RCE Windows 提权 Apache CXF 三重漏洞构成了一条从互联网到服务器 SYSTEM 权限的完整攻击链。打补丁是第一优先但不是唯一的事。登录加固、进程管控、数据加密——这些是补丁之外的纵深防线。补丁解决的是已知漏洞能不能被利用纵深防线解决的是漏洞被利用之后的伤害有多大。 话题讨论你们公司的服务器有没有做双因素登录和进程白名单补丁管理是怎么覆盖全量资产的欢迎评论区交流实战经验。
