حمله سایبری به سرورهای مایکروسافت شیرپوینت؛ انتشار وصله‌های اضطراری

تصویر سروش شکوئی سروش شکوئیآخرین به روز رسانی: 1404/04/31
0 12 خواندن این مطلب 5 دقیقه زمان میبرد
حمله سایبری به سرورهای مایکروسافت شیرپوینت

در چند روز اخیر شاهد حمله سایبری به سرورهای مایکروسافت شیرپوینت هستیم که نگرانی‌های زیادی را ایجاد کرده است! به گزارش فالنیک، این نگرانی‌ها از محدوده کاربران و شرکت‌های معمولی فراتر رفته و حتی نهادهای فدرال آمریکا را نیز درگیر خود کرده است!

اکنون هکرها در حال بهره‌برداری از یک نوع جدید آسیب‌پذیری روز صفر (با شناسه CVE-2025-53770) در سرورهای SharePoint هستند که به اجرای کد از راه دور منجر می‌شود. این آسیب‌پذیری، نسخه‌ای از نقص قبلی (با شناسه CVE-2025-49706) است که در اوایل همین ماه، مایکروسافت برای آن وصله ارائه داده بود. مایکروسافت روز شنبه (19 جولای) تأیید کرد که این نقص برای نصب Backdoor روی سرورهای آسیب‌پذیر داخلی و سرقت کلیدهای امنیتی سیستم‌ها استفاده می‌شود و به مهاجمان امکان کنترل کامل سرورها را می‌دهد!

در حال حاضر وصله‌ای برای این آسیب‌پذیری وجود ندارد، اما مایکروسافت اعلام کرده که کاربران دارای سرورهای داخلی شیرپوینت، می‌توانند با ادغام  Antimalware Scan Interface (AMSI) در شیرپوینت و نصب آنتی‌ویروس Defender روی تمامی سرورهای سرویس، از بهره‌برداری این نقص جلوگیری کنند.

در هشدار امنیتی مایکروسافت درباره حمله به شیرپوینت آمده است: «ادغام AMSI به‌صورت پیش‌فرض در آپدیت امنیتی سپتامبر 2023 برای SharePoint Server 2016/2019 فعال شده بود. همچنین این قابلیت در آپدیت نسخه 23H2 برای SharePoint Server Subscription Edition فعال شده است. در هر حال، چنانچه به هر دلیلی به AMSI دسترسی ندارید، توصیه می‌شود هرچه سریع‌تر دسترسی سرور شیرپوینت به اینترنت قطع شود. همچنین توصیه می‌کنیم برای شناسایی و مسدود کردن فعالیت‌های پس از بهره‎برداری، آنتی ویروس Defender for Endpoint را نصب کنید».

درباره نقص CVE-2025-53770؛ منشأ اصلی حمله سایبری به سرورهای مایکروسافت شیرپوینت

نقص CVE-2025-53770 و حمله Toolshell

این نقص با تجزیه و تحلیل داده‌های غیرقابل اعتماد در شیرپوینت ایجاد شده است و می‌تواند بدون نیاز به تعامل کاربر و احراز هویت، امکان اجرای کد از راه دور را فراهم آورد. در حال حاضر سرورهای داخلی زیر تحت تأثیر این حمله سایبری قرار گرفته‌اند:

  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Server Subscription Edition

شیرپوینت موجود در سرویس Microsoft 365 (که با نام SharePoint Online) شناخته می‌شود، از این آسیب‌پذیری مصون است.

این آسیب‌پذیری جدید نسخه‌ای از CVE-2025-49706 (نقص دور زدن احراز هویت) است که با CVE-2025-49704 (نقص تزریق کد) ترکیب شده تا حمله‌ای به نام «ToolShell» اجرا شود. این حمله توسط پژوهشگران شرکت Viettel Cyber Security طراحی و در مسابقه Pwn2Own که در مه ۲۰۲۵ در برلین برگزار شد، نمایش داده شده است.

متأسفانه انتشار اسکرین شات نمونه PoC حمله ToolShell توسط محققان CODE WHITE GmbH و ارائه جزئیات فنی بیشتر توسط سایر محققان، به هکرها امکان داده تا زنجیره‌ای از حملات را ایجاد کرده و سرورهای شیرپوینت متصل به اینترنت را هدف حملات گسترده قرار دهند. این اقدامات کاملاً برخلاف اصول امنیت سایبری ارزیابی شده است.

بهره‌برداری از نقص سرورهای شیرپوینت در دنیای واقعی چگونه است؟

شرکت امنیتی هلندی Eye Security گزارش داده که این آسیب‌پذیری از حداقل 18 جولای به‌طور فعال مورد بهره‌برداری قرار گرفته است. این شرکت اعلام کرد: «وقتی تیم ما بررسی سیستم‌های آسیب‌دیده را آغاز کرد، انتظار داشتیم تا مظنونین همیشگی را پیدا کنیم: وب‌شل‌های معمولی که برای اجرای دستورات، آپلود فایل یا حرکات جانبی طراحی شده‌اند. اما چیزی که کشف کردیم ظریف‌تر و خطرناک‌تر بود: یک فایل مخفی spinstall0.aspx که برای استخراج و افشای اسرار رمزنگاری‌شده سرور شیرپوینت طراحی شده است، آن هم فقط با یک درخواست GET ساده!».

مسئول تیم امنیتی این شرکت هلندی ادامه داد: «این فایل یک وب‌شل معمولی نبود. هیچ فرمان تعاملی، شل‌های معکوس یا منطق فرمان و کنترلی در آن وجود نداشت! در عوض از متدهای داخلی .NET برای خواندن پیکربندی MachineKey سرور شیرپوینت استفاده می‌کرد. این پیکربندی شامل کلیدهای حساس ValidationKey و DecryptionKey می‌شوند. این کلیدها برای تولید ترافیک معتبر (__VIEWSTATE) ضروری هستند و دسترسی به آنها هر درخواست احراز هویت شده شیرپوینت را به فرصتی برای اجرای کد از راه دور تبدیل می‌کند».

Ete Security اعلام کرده است که چند ساعت پس از شناسایی نفوذ اولیه، بیش از ده‌ها سرور را پیدا کرده که دقیقاً با همان ترافیک معتبر و مسیر فایل یکسان آلوده شده بودند. این شرکت یافته‌های خود را به‌طور محرمانه با تیم‌هایی CERT ملی در سراسر جهان و سازمان‌های آسیب‌دیده در اروپا به اشتراک گذاشته است. در روز یکشنبه 20 جولای، تعداد قربانیان بیشتری نیز توسط Dutch Institute for Vulnerability Disclosure کشف شدند!

در مواجهه با حمله سایبری به سرورهای مایکروسافت شیرپوینت چه باید کرد؟

توصیه‌های مایکروسافت برای مواجهه حمله سایبری به شیرپوینت

سازمان‌هایی که اینترنت سرورهای شیرپوینت داخلی خود را قطع کرده‌اند یا AMSI و Defender AV را پس از موج اولیه حملات فعال کرده‌اند، باید لاگ‌های سرور خود را برای بررسی نشانه‌های نفوذ (IoC) مورد بازبینی قرار دهند. Eye Security لیست نشانه‌های نفوذ حمله شیرپوینت را گردآوری کرده و در حال به‌روزرسانی مداوم آن است. این شرکت به سازمان‌ها توصیه کرده که راهنمای مشتریان مایکروسافت را نیز دنبال کنند. وب‌سایت Palo Alto Networks نهم برخی از نشانه‌های نفوذ را منتشر کرده است.

سازمان‌هایی که نشانه‌هایی از نفوذ پیدا می‌کنند، باید سرورهای آسیب‌دیده را ایزوله یا خاموش کنند و تمام اعتبارنامه‌ها و اسرار سیستمی را که ممکن است افشا شده باشند، تجدید کنند. Eye Security توضیح می‌دهد: «کلیدهای که به آنها اشاره کردیم، به مهاجمان اجازه می‌دهند حتی پس از وصله سرور، کاربران یا سرویس‌ها را جعل کنند! بنابراین وصله به تنهایی مشکل را حل نمی‌کند و سازمان‌ها باید داده‌های سرور خود را تغییر دهند تا توکن‌هایی که در آینده توسط مهاجم ساخته می‌شوند، نامعتبر شوند».

برخی سازمان‌ها ممکن است برای بررسی نفوذ و مهار آن به متخصص نیاز پیدا کنند. Eye Security هشدار داده است: «مهاجمان می‌توانند از طریق Backdoorها یا کامپوننت‌های تغییر شکل یافته که در برابر ری‌استارت و به‌روزرسانی مقاوم هستند، پایداری دسترسی خود را حفظ کنند. بنابراین درصورت تردید، باید حتماً با متخصصان حرفه‌ای مشورت کنید. از آنجایی که شیرپوینت اغلب به سرویس‌های اصلی مایکروسافت مانند Teams، Outlook و OneDrive متصل است، نفوذ به آن می‌‎تواند به سرقت داده‌ها و جمع‌آوری رمزهای عبور به شکل گسترده منجر شود».

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA)، این آسیب‌پذیری را به فهرست آسیب‌پذیری‌های خطرناک اضافه کرده و به تمام آژانس‌های اجرایی غیرنظامی فدرال آمریکا دستور داده تا سیستم‌های آسیب‌دیده را شناسایی و اقدامات لازم را تا 21 جولای انجام دهند.

به‌روزرسانی خبر – 21 جولای، ساعت 05:15 صبح به وقت آمریکا

مایکروسافت برای SharePoint Server Subscription Edition و SharePoint Server 2019 به‌روزرسانی جدید منتشر کرده است. این آپدیت‌ها نقص‌های CVE-2025-53770 و CVE-2025-53771 را برطرف می‌کنند. همچنین مایکروسافت راهنمای مشتریان خود را با اطلاعات و توصیه‌های اضافی به‌روزرسانی کرده است.

به‌روزرسانی خبر – 21 جولای، ساعت 07:05 صبح به وقت آمریکا

طبق گزارش واشنگتن پست، آسیب‌پذیری CVE-2025-53770 برای نفوذ به سرورهای آژانس‌های فدرال و ایالتی آمریکا، شرکت‌های انرژی، دانشگاه‌ها و یک شرکت مخابراتی آسیایی استفاده شده است. Eye Security بیش از 50 نفوذ را ردیابی کرده که در میان آنها یک شرکت انرژی در ایالتی بزرگ از آمریکا و چند آژانس دولتی اروپایی دیده می‌شود. CISA اعلام کرده است که مهاجمان توانسته‌اند به‌طور کامل به محتوای شیرپوینت، از جمله سیستم‌های فایل و پیکربندی‌های داخلی دسترسی پیدا کنند و کد دلخواه خود را در شبکه اجرا کنند. خطری بزرگ همه را تهدید می‌کند!

post
منبع
Helpnet Security
تصویر سروش شکوئی سروش شکوئیآخرین به روز رسانی: 1404/04/31
0 12 خواندن این مطلب 5 دقیقه زمان میبرد
خرید سرور dl380 g10 plus خرید سرور dl380 g11
تصویر سروش شکوئی

سروش شکوئی

نوشته های مشابه

FlashBlade//E

FlashBlade // E؛ انقلابی در صنعت ذخیره سازی

1402/09/13
کامپیوتر رومیزی جدید HP Pavilion Wave

کامپیوتر رومیزی جدید HP Pavilion Wave

1395/06/13
تصویر پردازنده های AMD در سرورها

پردازنده‌های EPYC ای‌ام‌دی همچنان در حال تصاحب سهم بازار اینتل در دنیای سرورها هستند

1403/06/06
پروبوک‌های اچ پی با پردازنده‌های نسل هشتم اینتل

پروبوک‌های اچ پی با پردازنده‌های نسل هشتم اینتل عرضه می‌شوند

1396/06/06

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا