مایکروسافت بهروزرسانیهای امنیتی اضطراری برای نرم افزار SharePoint منتشر کرده تا دو آسیبپذیری روز-صفر با شناسههای CVE-2025-53770 و CVE-2025-53771 را برطرف کند. این آسیبپذیریها در جریان حملاتی با نام “ToolShell” بهطور فعال مورد سوءاستفاده قرار گرفتهاند و سرویسهایی را در سراسر جهان به خطر انداختهاند.
در ماه می، پژوهشگران امنیتی در جریان مسابقه هک Pwn2Own در برلین، زنجیرهای از آسیبپذیریها را در SharePoint کشف و با استفاده از آن موفق به اجرای کد از راه دور (RCE) شدند. این زنجیره با نام “ToolShell” شناخته شد.
اگرچه این نقصها در بهروزرسانیهای امنیتی ماه جولای رفع شدند؛ اما مهاجمان سایبری توانستند دو آسیبپذیری جدید کشف کنند که پچهای قبلی مایکروسافت را دور میزنند. با استفاده از این ضعفهای امنیتی، آنها حملات جدیدی را علیه سرورهای SharePoint انجام دادهاند که تاکنون بیش از ۵۴ سازمان را تحت تأثیر قرار داده است.
جزئیات بهروزرسانیهای اضطراری نرم افزار SharePoint
مایکروسافت اکنون بهروزرسانیهای خارج از برنامه برای نسخههای SharePoint Subscription Edition و SharePoint 2019 منتشر کرده که این دو آسیبپذیری جدید را برطرف میکنند. پچ مربوط به نسخه SharePoint 2016 هنوز در دست توسعه است و در حال حاضر در دسترس نمیباشد.
طبق اعلام مایکروسافت، بهروزرسانی جدید برای CVE-2025-53770 نسبت به پچ قبلی برای CVE-2025-49704 محافظت قویتری فراهم میکند. همچنین پچ CVE-2025-53771 نسبت به پچ قبلی CVE-2025-49706، امنیت بالاتری دارد. مایکروسافت توصیه کرده مدیران SharePoint بر اساس نسخه نرمافزارشان، این بهروزرسانیها را هرچه سریعتر نصب کنند:
- برای Microsoft SharePoint Server 2019: بهروزرسانی KB5002754
- برای Microsoft SharePoint Subscription Edition: بهروزرسانی KB5002768
- برای Microsoft SharePoint Enterprise Server 2016: هنوز پچی منتشر نشده است
اقدامات بعد از نصب پچ
پس از نصب بهروزرسانیها، مدیران باید کلیدهای ماشین SharePoint را تغییر دهند. برای این کار دو روش وجود دارد:
۱. بهصورت دستی با استفاده از PowerShell: دستور Update-SPMachineKey cmdlet را اجرا کنید.
۲. از طریق Central Administration:
وارد Central Administration شوید. مسیر Monitoring → Review job definitions را دنبال کنید. Job مربوط به Machine Key Rotation را یافته و گزینه Run Now را انتخاب کنید. پس از تکمیل فرآیند، لازم است سرویس IIS در تمامی سرورهای SharePoint با دستور iisreset.exe ریاستارت شود.
اقدامات امنیتی تکمیلی
مایکروسافت توصیه کرده لاگها و سیستم فایل سرورها برای یافتن نشانههایی از فایلهای مخرب یا تلاش برای نفوذ بررسی شوند. موارد خاصی که باید بررسی شوند شامل:
- وجود فایلaspx در مسیر:
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\
- لاگهای IIS که نشاندهنده درخواست POST به مسیر
_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx
با مرجع http(referer) برابر با _layouts/SignOut.aspx هستند.
همچنین مایکروسافت یک کوئری برای Microsoft 365 Defender ارائه کرده تا بررسی شود که آیا فایل spinstall0.aspx روی سرور ایجاد شده یا خیر:
eviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
در صورتی که این فایل روی سرور وجود داشته باشد، لازم است یک بررسی کامل امنیتی روی سرور و کل شبکه انجام شود تا مشخص گردد مهاجمان به دیگر دستگاهها نیز نفوذ نکرده باشند.
