آسیب‌پذیری روز صفر CVE-2025-53770

یک نقص امنیتی شدید در Microsoft SharePoint Server به کانون یک کمپین حمله سایبری گسترده و مداوم تبدیل شده است. این آسیب‌پذیری که با شناسه CVE-2025-53770 و امتیاز CVSS 9.8 ردیابی می‌شود، به عنوان یک آسیب‌پذیری روز صفر طبقه‌بندی می‌شود و ارتباط نزدیکی با CVE-2025-49704 (CVSS 8.8)، یک اشکال تزریق کد و اجرای کد از راه دور دارد که در به‌روزرسانی‌های وصله سه‌شنبه ژوئیه 2025 مایکروسافت برطرف شد. این نقص ناشی از deserialization داده‌های غیرقابل اعتماد است که به مهاجمان اجازه می‌دهد کد مخرب را از راه دور و بدون مجوز مناسب اجرا کنند.

حملات فعال و سیستم‌های آسیب‌دیده

محققان تأیید کرده‌اند که مجرمان سایبری به‌طور فعال از این آسیب‌پذیری علیه نمونه‌های SharePoint Server داخلی سوءاستفاده می‌کنند. نکته مهم این است که SharePoint Online در Microsoft 365 تحت تأثیر قرار نگرفته است. مهاجمان از نحوه مدیریت اشیاء غیرقابل اعتماد توسط SharePoint در طول deserialization سوءاستفاده می‌کنند و به آنها امکان اجرای دستورات قبل از احراز هویت کاربر را می‌دهند. مهاجمان پس از ورود به سیستم، می‌توانند با استفاده از کلیدهای ماشین دزدیده شده، payloadهای جعلی تولید کنند و امکان حرکت جانبی و دسترسی مداوم را فراهم کنند. این امر تشخیص و کاهش آسیب‌پذیری را چالش‌برانگیز می‌کند، زیرا فعالیت آنها می‌تواند ترافیک مشروع SharePoint را تقلید کند.

زنجیره‌های پیچیده‌ی بهره‌برداری

شواهد نشان می‌دهد که CVE-2025-53770 در کنار سایر نقص‌ها، از جمله CVE-2025-49706 (یک اشکال جعل با امتیاز CVSS 6.3) و CVE-2025-49704، برای تشکیل یک زنجیره بهره‌برداری پیشرفته به نام ToolShell استفاده می‌شود. مهاجمان از CVE-2025-49706 برای ارائه بارهای اجرای کد از راه دور که از CVE-2025-49704 سوءاستفاده می‌کنند، استفاده می‌کنند. طبق گزارش‌ها، افزودن '_layouts/SignOut.aspx' به عنوان ارجاع‌دهنده HTTP، CVE-2025-49706 را به CVE-2025-53770 تبدیل می‌کند و فرآیند بهره‌برداری را ساده‌تر می‌کند.

این حملات معمولاً شامل بارهای داده ASPX هستند که از طریق PowerShell ارسال می‌شوند و هدف آنها سرقت پیکربندی MachineKey سرور (ValidationKey و DecryptionKey) است. این کلیدها بسیار مهم هستند زیرا به مهاجمان اجازه می‌دهند بارهای داده مخرب __VIEWSTATE را ایجاد کنند که SharePoint آنها را به عنوان معتبر می‌پذیرد و عملاً هر درخواست احراز هویت شده را به فرصتی برای اجرای کد از راه دور تبدیل می‌کند.

مقیاس سازش

تاکنون، بیش از ۸۵ سرور SharePoint در سراسر جهان مورد نفوذ قرار گرفته‌اند و حداقل ۲۹ سازمان، از جمله شرکت‌های چندملیتی و سازمان‌های دولتی، را تحت تأثیر قرار داده‌اند. هنگامی که مهاجمان کلیدهای رمزنگاری را در اختیار داشته باشند، رفع مشکل بسیار پیچیده‌تر می‌شود. حتی پس از اعمال یک وصله امنیتی، کلیدهای دزدیده شده ممکن است همچنان به مهاجمان اجازه دسترسی بدهند، مگر اینکه این کلیدها به صورت دستی تغییر داده یا پیکربندی مجدد شوند.

اقدامات کاهش دهنده

تا زمانی که یک وصله رسمی در دسترس قرار نگرفت، مایکروسافت به سازمان‌ها توصیه می‌کرد که ادغام رابط اسکن ضدبدافزار (AMSI) را در SharePoint فعال کنند. برای مشتریانی که قادر به فعال کردن AMSI نیستند، قطع اتصال سرورهای SharePoint آسیب‌پذیر از اینترنت اکیداً توصیه می‌شد.

پس از گزارش‌های مداوم سوءاستفاده، مایکروسافت وصله‌هایی را برای هر دو آسیب‌پذیری CVE-2025-53770 و یک نقص تازه کشف‌شده، CVE-2025-53771، برای محافظت از سیستم‌های آسیب‌پذیر منتشر کرده است.

هشدار CISA

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) هشداری صادر کرده است که سوءاستفاده فعال از آسیب‌پذیری CVE-2025-53770 را تأیید می‌کند. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا به اجرای کد از راه دور و بدون احراز هویت در شبکه دست یابند و تهدیدی جدی برای هر محیط SharePoint وصله نشده ایجاد کنند.