مایکروسافت حفره‌های امنیتی SharePoint را که در حملات استفاده شده‌اند، برطرف کرد

مایکروسافت وصله‌های امنیتی اضطراری برای دو آسیب‌پذیری روز-صفر (Zero-Day) در SharePoint که با شناسه‌های CVE-2025-53770 و CVE-2025-53771 دنبال می‌شوند و در حملات موسوم به “ToolShell” به‌طور فعال مورد سوءاستفاده قرار گرفته‌اند، منتشر کرد.

در ماه مه، در جریان مسابقه هک Pwn2Own در برلین، پژوهشگران زنجیره‌ای از آسیب‌پذیری‌های روز-صفر را که تحت عنوان “ToolShell” شناخته می‌شود، مورد بهره‌برداری قرار دادند که به آن‌ها اجازه اجرای کد از راه دور (Remote Code Execution) در Microsoft SharePoint را می‌داد.

این آسیب‌پذیری‌ها در قالب وصله‌های Patch Tuesday ماه ژوئیه رفع شدند؛ اما مهاجمان موفق شدند دو آسیب‌پذیری جدید روز-صفر کشف کنند که وصله‌های مایکروسافت برای نقص‌های قبلی را دور می‌زنند.

مهاجمان با بهره‌گیری از این آسیب‌پذیری‌ها، حملات ToolShell را علیه سرورهای SharePoint در سراسر جهان آغاز کرده‌اند که تاکنون بیش از ۵۴ سازمان را تحت تأثیر قرار داده‌اند.

انتشار وصله‌های اضطراری برای SharePoint

مایکروسافت به‌تازگی وصله‌های امنیتی اضطراری و خارج از برنامه (Out-of-Band) برای Microsoft SharePoint Subscription Edition و SharePoint Server 2019 منتشر کرده است که دو آسیب‌پذیری روز-صفر با شناسه‌های CVE-2025-53770 و CVE-2025-53771 را برطرف می‌کنند.

مایکروسافت اعلام کرده است که هنوز در حال کار روی انتشار وصله برای SharePoint Server 2016 است و این به‌روزرسانی در حال حاضر در دسترس نیست.

در یکی از اطلاعیه‌های رسمی مایکروسافت آمده است:
«بله، وصله مربوط به CVE-2025-53770 محافظت‌های قوی‌تری نسبت به وصله قبلی برای CVE-2025-49704 ارائه می‌دهد. همچنین وصله مربوط به CVE-2025-53771 نیز محافظت‌های قوی‌تری نسبت به وصله CVE-2025-49706 دارد.»

مدیران SharePoint باید بسته‌های به‌روزرسانی زیر را فوراً نصب کنند:

• به‌روزرسانی KB5002754 برای Microsoft SharePoint Server 2019
• به‌روزرسانی KB5002768 برای Microsoft SharePoint Subscription Edition
• به‌روزرسانی برای Microsoft SharePoint Server 2016 هنوز منتشر نشده است.

مراحل امنیتی پس از نصب وصله‌ها

مایکروسافت توصیه می‌کند که پس از نصب به‌روزرسانی‌ها، مدیران SharePoint Machine Key را چرخش (Rotate) دهند. این کار از دو روش زیر قابل انجام است:

۱. روش دستی از طریق PowerShell

با اجرای دستور زیر:

Update-SPMachineKey

۲. روش دستی از طریق Central Administration

1. ورود به Central Administration
2. مسیر: Monitoring → Review job definitions
3. جستجوی Machine Key Rotation Job و انتخاب گزینه Run Now
4. پس از اتمام فرآیند چرخش، اجرای دستور زیر روی تمامی سرورهای SharePoint:

iisreset.exe

بررسی نشانه‌های بهره‌برداری یا آلودگی در سیستم

مایکروسافت همچنین به مدیران توصیه کرده است که لاگ‌ها و فایل‌سیستم را برای شناسایی فایل‌های مشکوک یا تلاش برای بهره‌برداری بررسی کنند. مواردی که باید مورد توجه قرار گیرد:

• ایجاد فایل زیر در سیستم:

C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx

لاگ‌های IIS شامل:

• درخواست POST به مسیر زیر:

_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx

و وجود HTTP Referer با مقدار زیر:

_layouts/SignOut.aspx

جستجو در Microsoft 365 Defender برای شناسایی فایل آلوده

مایکروسافت یک کوئری برای Microsoft 365 Defender ارائه کرده است که به مدیران کمک می‌کند بررسی کنند آیا فایل spinstall0.aspx روی سرورشان ایجاد شده یا خیر.

eviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc

در صورتی که فایل مذکور وجود داشته باشد، باید تحقیقات کامل امنیتی بر روی سرور آسیب‌دیده و همچنین شبکه سازمانی انجام شود تا اطمینان حاصل گردد که مهاجمان به سایر دستگاه‌ها یا بخش‌های شبکه نفوذ نکرده‌اند.