تکنولوژی

راهنمای کامل ایمن‌سازی SharePoint در برابر حمله ToolShell و نقص‌های جدید  CVE-2025-53770/53771

تکنولوژی
امتیاز:
( 0 امتیاز )
ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

مایکروسافت اخیراً وصله‌های امنیتی اضطراری را برای دو آسیب‌پذیری بحرانی در SharePoint Server On-Prem  منتشر کرده است؛ آسیب‌پذیری‌هایی با شناسه‌های CVE-2025-53770 (ضعف Deserialization  که می‌تواند به اجرای کد از راه دور منجر شود) و CVE-2025-53771 (مشکل Spoofing و Path Handling Bypass).

این دو ضعف امنیتی در زنجیره حملاتی که با نام ToolShell  شناخته می‌شود، به‌صورت فعال در حال بهره‌برداری هستند. مهاجمان با سوءاستفاده از این نقص‌ها می‌توانند بدون نیاز به احراز هویت، وب‌شل‌های مخرب بارگذاری کرده، کلیدهای رمزنگاری (machineKey) را سرقت کنند و حتی پس از نصب به‌روزرسانی‌ها، در صورتی که کلیدها چرخانده نشوند، دسترسی ماندگار داشته باشند. مایکروسافت تأکید کرده است که مدیران سیستم باید فوراً وصله‌ها را اعمال کرده، کلیدهای رمزنگاری را Rotate کنند و لاگ‌های سرور را برای نشانه‌های نفوذ بررسی نمایند.

سناریوی حملات ToolShell : آسیب‌پذیری‌های جدید SharePoint چگونه سازمان‌ها را هدف قرار می‌دهد؟

از اوایل جولای، گروه‌های تهدید پیشرفته شروع به سوءاستفاده از نقاط ضعف امنیتی در SharePoint Server  کرده‌اند. این حملات ابتدا با بهره‌برداری از آسیب‌پذیری‌های مطرح‌شده در مسابقه Pwn2Own (CVE-2025-49704 و CVE-2025-49706) آغاز شد و سپس به استفاده از دو نقص جدید با شناسه‌های CVE-2025-53770 و CVE-2025-53771 گسترش یافت.

زنجیره حمله‌ای که توسط محققان امنیتی با نام ToolShell شناسایی شده، به مهاجمان امکان می‌دهد بدون نیاز به احراز هویت، اجرای کد از راه دور (RCE)، بارگذاری وب‌شل‌های مخرب و ایجاد ماندگاری طولانی‌مدت در سرورهای آلوده را انجام دهند.

گزارش‌های میدانی نشان می‌دهد که سازمان‌های دولتی، آموزشی، زیرساخت‌های انرژی و شرکت‌های بزرگ به‌طور خاص در معرض این حملات قرار دارند.

معرفی آسیب‌پذیری‌ها

CVE-2025-53770 – Deserialization of Untrusted Data → RCE

یک نقص Deserialization  در SharePoint سرورهای On-Prem به مهاجم اجازه می‌دهد داده ی دستکاری‌شده را به سرویس ارسال کرده و در نهایت Remote Code Execution  به‌دست آورد—حتی بدون داشتن احراز هویت معتبر، بسته به نحوه‌ی زنجیره‌سازی با ضعف‌های دیگر. مایکروسافت تأیید کرده بهره‌برداری فعال در طبیعت وجود دارد.

CVE-2025-53771 – Path Handling / Spoofing

این ضعف در پردازش مسیر/هدر می‌تواند اجازه‌ی Spoofing  و عبور از کنترل‌های امنیتی را بدهد و در برخی سناریوها گام لازم برای آماده‌سازی حمله RCE است. امتیاز CVSS وابسته به شرایط (PR:L) است، اما در زنجیره با 53770 قدرت تخریب به‌مراتب بیشتر می‌شود.

ارتباط با نقص‌های قبلی:  CVE-2025-49704 و CVE-2025-49706

نقص‌های جدید به‌نوعی بای‌پس patch‌های قبلی تلقی می‌شوند. دو آسیب‌پذیری که ابتدا در Pwn2Own توسط Viettel Cyber Security مطرح شدند (49704 و 49706) پس از Patch اولیه هنوز فضای حمله‌ای باقی گذاشتند که اکنون با 53770 و 53771 بسته می‌شود. برخی حملات ToolShell از زنجیره قدیمی آغاز و سپس از گونه جدید برای ماندگاری استفاده کرده‌اند.

چه محیط‌هایی تحت‌تأثیرند و چه محیط‌هایی نه

این آسیب‌پذیری‌ها فقط SharePoint Serverهای On-Premises )Subscription Edition، 2019، 2016 و برخی استقرارهای قدیمی( را تحت‌تأثیر قرار می‌دهند . SharePoint Online در Microsoft 365 طبق اعلام مایکروسافت و CISA تحت‌تأثیر مستقیم این نقص‌ها نیست.

جریان حمله‌ی مشاهده‌شده (Attack Flow)

پژوهش‌های میدانی Trend Micro نشان داده‌اند که مهاجمان از یک تکنیک هوشمندانه برای دور زدن احراز هویت در SharePoint استفاده می‌کنند.
مهاجم ابتدا یک درخواست HTTP ساختگی به مسیر حساسی مانند:

/_layouts/15/ToolPane.aspx?DisplayMode=Edit

ارسال می‌کند، در حالی که هدر Referer جعلی را روی آدرس‌هایی مثل:

/_layouts/SignOut.aspx

تنظیم کرده است. این کار باعث می‌شود کنترل‌های امنیتی و احراز هویت SharePoint فریب بخورند و مهاجم بدون لاگین به بخش مدیریت دسترسی پیدا کند.

پس از این مرحله، مهاجم یک فایل وب‌شل مخرب (نمونه: spinstall0.aspx) را روی سرور بارگذاری می‌کند. این وب‌شل با اسکن داخلی برنامه، کلیدهای رمزنگاری ASP.NET machineKey شامل ValidationKey و DecryptionKey را استخراج می‌کند.

با داشتن این کلیدها، مهاجم می‌تواند Payloadهای امضاشده جعلی (مانند __VIEWSTATE) بسازد که به او اجازه اجرای کد از راه دور (RCE) را می‌دهد. حتی اگر مدیر سیستم وصله‌های امنیتی (Patch) را نصب کند، تا زمانی که کلیدهای machineKey چرخانده نشوند (Rotate)، مهاجم همچنان قادر به بازگشت و سوءاستفاده خواهد بود.

شاخص‌های نفوذ (IoCs) و الگوهای لاگ

به‌دنبال این نشانه‌ها باشید:

✔️ درخواست‌های POST یا GET غیرمعمول به /_layouts/15/ToolPane.aspx یا مسیرهای مشابه.

✔️ هدر Referer مشکوک مانند /_layouts/SignOut.aspx در IIS لاگ‌ها.

✔️ فایل‌های ناشناس .aspx (مثال گزارش‌شده: spinstall0.aspx) در دایرکتوری‌های LAYOUTS یا مسیرهای Upload .

✔️ زنجیره پردازشی : w3wp.execmd.exepowershell.exe یا اسکریپت‌های Base64

✔️ خواندن/Dump تنظیمات machineKey یا ایجاد فایل خروجی حاوی کلیدها.

ارزیابی ریسک و اولویت‌بندی

ترکیب عوامل زیر—Pre-Auth Chain، RCE، سرقت کلید، ماندگاری پس از Patch، بهره‌برداری فعال—این تهدید را در رده Patch فوری (کمتر از 2448 ساعت) برای محیط‌های حساس (دولتی، مالی، انرژی، سلامت) قرار می‌دهد.  CISA رسماً هشدار داده؛ مایکروسافت نصب فوری به‌روزرسانی و چرخش کلیدها را توصیه می‌کند؛ تحلیلگران صنعت موج حملات گسترده را تأیید کرده‌اند.

اقدامات اصلاحی (Patch & Post-Patch)

✔️ گام 1 – نصب وصله‌های امنیتی: آخرین آپدیت امنیتی مربوط به نسخه خود (Subscription Edition، 2019، 2016) را نصب کنید؛ بسته‌های اخیر شامل رفع هر دو CVE (53770 و ) هستند.

✔️ گام 2 –Rotate machine keys : پس از Patch، حتماً کلیدهای ValidationKey و DecryptionKey را Rotate کنید؛ در غیر این‌صورت مهاجمی که قبلاً کلید را سرقت کرده می‌تواند دوباره وارد شود.

✔️ گام 3 – ریستارت IIS / بازیابی Farm : پس از به‌روزرسانی و چرخش کلید، IIS Reset روی تمام گره‌های Farm را اجرا و سلامت Farm را اعتبارسنجی کنید.

✔️ گام 4 – اسکن برای وب‌شل و آرته‌فکت: مسیرهای LAYOUTS، Temporary ASP.NET Files و IIS wwwroot را برای فایل‌های ناشناس بررسی کنید.

کنترل‌های جبرانی موقت (اگر Patch فوری ممکن نیست)

✔️ محدود کردن دسترسی HTTP/HTTPS به SharePoint فقط از شبکه داخلی یا VPN.

✔️ بستن دسترسی مدیریتی از اینترنت.

✔️ فعال‌سازی کامل ضدبدافزار و AMSI روی سرور.

✔️ پایش الگوهای درخواست مشکوک و بلاک‌کردن آن‌ها در لایه‌ی WAF یا Reverse Proxy .

Playbook  واکنش سریع (IR  48 ساعته)

۰۴ ساعت: شناسایی تمام سرورهای SharePoint On-Prem و تعیین اینکه آیا به اینترنت اکسپوز هستند. محدودسازی دسترسی در صورت عدم Patch

۴۱۲ ساعت: نصب به‌روزرسانی امنیتی مرتبط با نسخه. اگر نسخه خارج از پشتیبانی است، ایزوله‌سازی.

۱۲۲۴ ساعت:  Rotate machine keys؛ iisreset؛ بررسی انسجام Farm,

۲۴۴۸ ساعت: شکار IoC (هدر جعلی، spinstall0.aspx، پردازش Powershell) بررسی فعالیت‌های جانبی و اعتبارسنجی این‌که مهاجم به سایر سامانه‌های مایکروسافتی Pivot نکرده باشد.

توصیه‌های ویژه برای سازمان‌های ایرانی

در بسیاری از سازمان‌های ایرانیهمچون سازمان های بانکی، دولتی، صنعتی و دانشگاهی هنوز از SharePoint Server  برای پرتال‌های داخلی، تبادل سند و فرایندهای اداری استفاده می‌شود. اتصال مستقیم به اینترنت، Patch با تأخیر، و عدم چرخش کلیدها پس از نفوذ از عوامل تشدید ریسک هستند. پیشنهاد می‌شود حتی اگر نشانه‌ای از حمله ندارید، فرض را بر قرار گرفتن در معرض خطر بگذارید و اسکن لاگ تاریخی انجام دهید.

به‌روزرسانی‌های امنیتی را از دست ندهید

با توجه به شدت حملات و سرعت بهره‌برداری مهاجمان از آسیب‌پذیری‌های روز، آگاهی سریع و تحلیل‌های فنی می‌تواند تفاوت بزرگی در امنیت سازمان‌ها ایجاد کند.
برای دسترسی به آخرین اخبار امنیت سایبری، تحلیل‌های تخصصی آسیب‌پذیری‌ها و راهکارهای دفاعی بومی، وب‌سایت سلام دیجی را دنبال کنید.

 

کلمات کلیدی: | | | |

مروری بر مطالب

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد