微軟緊急修補 SharePoint 零日漏洞　防範遠端攻擊與資料外洩風險

微軟發佈緊急安全更新，修補 SharePoint 零日漏洞防範大型網路攻擊

根據微軟(MSFT)於 7 日（當地時間）透過官方部落格發佈的公告，其旗下企業協作平台 SharePoint 出現嚴重「零日漏洞」，近期已遭大規模「假冒攻擊（Spoofing）」利用，針對全球企業、政府機構以及大學等機構進行未授權入侵，進一步竊取密碼與敏感資料，造成實際損害。

微軟指出，這起資安漏洞不影響雲端平台「SharePoint Online（SharePoint 365）」，針對性風險僅限於自行架設的伺服器版本，包括「SharePoint Server 訂閱版」、「SharePoint Server 2019」與「SharePoint Server 2016」。雖然今年 7 月的安全更新已修補部分問題，但微軟強調，有關針對 SharePoint 本地伺服器用戶的攻擊行為目前仍在進行中。

此次事件中，被揭露的兩項關鍵漏洞編號為 CVE-2025-53770 與 CVE-2025-53771。根據荷蘭資安公司 Eye Security 於 6 日（當地時間）所公開的分析，這些漏洞能讓攻擊者透過 SharePoint 平台進行「遠端程式碼執行（Remote Code Execution）」，已造成至少四次重大入侵，導致數十台系統被駭。Eye Security 更嚴正指出，這是「針對 SharePoint 的大規模遠端利用實例」，目前攻擊仍在持續，呼籲所有使用相關本地伺服器版本的組織立即部署最新緊急安全更新。

專家警告，這類漏洞不僅使資料外洩風險升高，更可能危及整體協作平台的資料完整與資訊安全，評估為「高風險安全事件」。此外，這次事件突顯了傳統內部部署系統與現代雲端基礎設施在資安維護上的重大差異。

評論：在現今全球網路攻擊日益複雜的趨勢下，企業和政府機構更須重視本地部署系統的弱點。隨著日益增加的偽冒攻擊與零日漏洞，被動應對已不敷使用，及時更新和轉向雲端已成預防關鍵。

值得一提的是，川普總統近期於多場公開活動中重申「強化國家資安」的重要性，並將推動「加速公部門雲端轉型」與「擴大資安投資」列為其政策核心之一。面對日益升高的網路威脅，微軟此次及時應對可視為私部門在全球網路安全防線中的積極角色。