انتشار وصله فوری برای نقص RCE در SharePoint که در حملات سایبری مداوم مورد بهره‌برداری قرار گرفته است توسط مایکروسافت

مایکروسافت روز یکشنبه ۲۰ ژوئیه ۲۰۲۵ وصله‌های امنیتی برای یک نقص امنیتی فعال[۱] در SharePoint منتشر کرد[۲] و همچنین جزئیات یک آسیب‌پذیری دیگر را که گفته می‌شود با «حفاظت‌های قوی‌تر» برطرف شده است، فاش کرد.

این غول فناوری اذعان کرد که «از حملات فعالی که مشتریان SharePoint Server داخلی را با بهره‌برداری از آسیب‌پذیری‌هایی که تا حدی توسط به‌روزرسانی امنیتی ژوئیه برطرف شده‌اند، هدف قرار می‌دهند، آگاه است.»

CVE-2025-53770 (امتیاز ۹٫۸ در CVSS)، همان‌طور که آسیب‌پذیری مورد بهره‌برداری ردیابی می‌شود، مربوط به موردی از اجرای کد از راه دور است که به دلیل deserialization داده‌های غیرقابل‌اعتماد در نسخه‌های داخلی Microsoft SharePoint Server رخ می‌دهد[۳].

نقص تازه افشاشده، یک نقص جعل در SharePoint است[۴] (CVE-2025-53771، امتیاز ۶٫۳ در CVSS). یک محقق ناشناس این اشکال را کشف و گزارش کرده است.

مایکروسافت در یک توصیه‌نامه که در ۲۰ ژوئیه ۲۰۲۵ منتشر شد، گفت: «محدود کردن نادرست نام مسیر به یک دایرکتوری محدود (پیمایش مسیر) در Microsoft Office SharePoint به یک مهاجم مجاز اجازه می‌دهد تا از طریق شبکه جعل هویت انجام دهد.»

مایکروسافت همچنین خاطرنشان کرد که CVE-2025-53770 و CVE-2025-53771 به دو آسیب‌پذیری دیگر شیرپوینت که توسط CVE-2025-49704 و CVE-2025-49706 مستند شده‌اند، مربوط می‌شوند که می‌توانند برای اجرای کد از راه دور به‌صورت زنجیره‌ای عمل کنند. این زنجیره بهره‌برداری که به‌عنوان ToolShell شناخته می‌شود، به‌عنوان بخشی از به‌روزرسانی وصله سه‌شنبه ژوئیه ۲۰۲۵ این شرکت اصلاح شد.

این سازنده ویندوز گفت: «به‌روزرسانی CVE-2025-53770 شامل محافظت‌های قوی‌تری نسبت به به‌روزرسانی CVE-2025-49704 است.» «به‌روزرسانی CVE-2025-53771 نیز شامل محافظت‌های قوی‌تری نسبت به به‌روزرسانی CVE-2025-49706 است.»

شایان‌ذکر است که مایکروسافت پیش‌ازاین CVE-2025-53770 را به‌عنوان گونه‌ای از CVE-2025-49706 معرفی کرده بود. وقتی برای اظهارنظر در مورد این اختلاف با سخنگوی مایکروسافت تماس گرفته شد، او به هکر نیوز گفت: «ما در حال اولویت‌بندی ارائه به‌روزرسانی‌ها به مشتریان هستیم و درعین‌حال هرگونه نادرستی در محتوا را در صورت لزوم اصلاح می‌کنیم.»

این شرکت همچنین اعلام کرد که محتوای منتشر شده فعلی صحیح است و تناقض قبلی تأثیری بر راهنمایی‌های شرکت برای مشتریان ندارد.

هر دو نقص شناسایی‌شده فقط مربوط به سرورهای SharePoint داخلی هستند و SharePoint Online را در Microsoft 365 تحت تأثیر قرار نمی‌دهند. این مشکلات در نسخه‌های زیر (در حال حاضر) برطرف شده‌اند:

مایکروسافت SharePoint Server 2019 (16.0.10417.20027) [5]
مایکروسافت SharePoint Enterprise Server 2016 (16.0.5508.1000) [6]
مایکروسافت SharePoint Server Subscription Edition [7]
مایکروسافت SharePoint Server 2019 Core [8]
مایکروسافت SharePoint Server 2016 (TBD)

برای کاهش حملات احتمالی، به مشتریان توصیه می‌شود –

از نسخه‌های پشتیبانی شده SharePoint Server داخلی (SharePoint Server 2016، ۲۰۱۹ و SharePoint Subscription Edition) استفاده کنند.
آخرین به‌روزرسانی‌های امنیتی را اعمال کنند.
اطمینان حاصل کنند که رابط اسکن ضددژافزار (AMSI) روشن است و حالت کامل[۹] را برای محافظت بهینه، همراه با یک راه‌حل آنتی‌ویروس مناسب مانند Defender Antivirus فعال کنند.
مایکروسافت Defender را برای محافظت از Endpoint یا تهدید معادل آن مستقر کنند.
چرخاندن کلیدهای ماشین NET سرور SharePoint

مایکروسافت اعلام کرد: «پس از اعمال آخرین به‌روزرسانی‌های امنیتی فوق یا فعال کردن AMSI، بسیار مهم است که مشتریان کلیدهای ماشین ASP.NET سرور SharePoint را بچرخانند و IIS را در تمام سرورهای SharePoint مجدداً راه‌اندازی کنند. اگر نمی‌توانید AMSI را فعال کنید، باید پس از نصب به‌روزرسانی امنیتی جدید، کلیدهای خود را بچرخانید.

این خبر در حالی منتشر می‌شود که Eye Security به The Hacker News گفته است که حداقل ۵۴ سازمان، ازجمله بانک‌ها، دانشگاه‌ها و نهادهای دولتی، مورد نفوذ قرار گرفته‌اند. طبق گفته این شرکت، گفته می‌شود که بهره‌برداری فعال از این آسیب‌پذیری حدود ۱۸ ژوئیه آغاز شده است.

آژانس امنیت سایبری و زیرساخت ایالات‌متحده (CISA) نیز به‌نوبه خود، آسیب‌پذیری CVE-2025-53770 را به فهرست آسیب‌پذیری‌های شناخته‌شده مورد بهره‌برداری ([۱۰]KEV) خود اضافه کرد[۱۱] و از سازمان‌های تابعه شاخه اجرایی غیرنظامی فدرال (FCEB) خواست تا ۲۱ ژوئیه ۲۰۲۵ این اصلاحات را اعمال کنند.

Palo Alto Networks Unit 42، که آن هم در حال ردیابی چیزی است که آن را «کمپین تهدید با تأثیر بالا و مداوم» توصیف می‌کند، گفت که دولت، مدارس، مراقبت‌های بهداشتی، ازجمله بیمارستان‌ها، و شرکت‌های بزرگ در معرض خطر فوری هستند.

مایکل سیکورسکی، مدیر ارشد فناوری و رئیس اطلاعات تهدید Unit 42 در Palo Alto Networks، به هکر نیوز گفت: «مهاجمان برای دستیابی به دسترسی ممتاز، کنترل‌های هویت، ازجمله MFA و SSO را دور می‌زنند. پس از ورود، داده‌های حساس را استخراج می‌کنند، درهای پشتی پایدار را مستقر می‌کنند و کلیدهای رمزنگاری را می‌دزدند. مهاجمان از این آسیب‌پذیری برای ورود به سیستم‌ها استفاده کرده‌اند و در حال حاضر جای پای خود را محکم کرده‌اند.»

«اگر SharePoint شما در محل کار در معرض اینترنت قرار دارد، باید فرض کنید که در این مرحله به خطر افتاده‌اید. وصله گذاری به‌تنهایی برای رفع کامل تهدید کافی نیست. چیزی که این موضوع را به‌ویژه نگران‌کننده می‌کند، ادغام عمیق SharePoint با پلتفرم مایکروسافت، ازجمله سرویس‌های آن‌ها مانند Office، Teams، OneDrive و Outlook است که تمام اطلاعات ارزشمند را برای یک مهاجم در اختیار دارند. یک نفوذ محدود نمی‌شود – بلکه در را به ‌کل شبکه باز می‌کند.»

این فروشنده امنیت سایبری همچنین آن را به‌عنوان یک تهدید با شدت بالا و فوریت بالا طبقه‌بندی کرده و از سازمان‌هایی که سرورهای SharePoint مایکروسافت را در محل اجرا می‌کنند، خواسته است تا وصله‌های لازم را فوراً اعمال کنند، تمام مواد رمزنگاری را تغییر دهند و در تلاش‌های واکنش به حادثه شرکت کنند.

سیکورسکی افزود: «یک راه حل فوری و موقت این است که Microsoft SharePoint خود را تا زمان ارائه وصله از اینترنت جدا کنید. احساس امنیت کاذب می‌تواند منجر به قرار گرفتن طولانی‌مدت در معرض خطر و نفوذ گسترده شود.»

منابع

[۱] https://thehackernews.com/2025/07/critical-microsoft-sharepoint-flaw.html

[۲] https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770

[۳] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770

[۴] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53771

[۵] https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-server-2019-july-8-2025-kb5002741-d860f51b-fcdf-41e4-89de-9ce487c06548

[۶] https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-enterprise-server-2016-july-8-2025-kb5002744-9196e240-c76d-4bb0-b16c-6f7d6645a1f0

[۷] https://www.microsoft.com/en-us/download/details.aspx?id=108285

[۸] https://www.microsoft.com/en-us/download/details.aspx?id=108286

[۹] https://learn.microsoft.com/en-us/sharepoint/security-for-sharepoint-server/configure-amsi-integration

[۱۰] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[۱۱] https://www.cisa.gov/news-events/alerts/2025/07/20/cisa-adds-one-known-exploited-vulnerability-cve-2025-53770-toolshell-catalog