CVE-2025-53770 शून्य-दिन भेद्यता

Microsoft SharePoint सर्वर में एक गंभीर सुरक्षा खामी, एक बड़े पैमाने पर चल रहे साइबर हमले अभियान का केंद्र बन गई है। 9.8 के CVSS स्कोर के साथ CVE-2025-53770 के रूप में ट्रैक की गई इस भेद्यता को ज़ीरो-डे के रूप में वर्गीकृत किया गया है और यह CVE-2025-49704 (CVSS 8.8) से निकटता से संबंधित है, जो एक कोड इंजेक्शन और रिमोट कोड निष्पादन बग है जिसे Microsoft के जुलाई 2025 पैच मंगलवार अपडेट के दौरान संबोधित किया गया था। यह खामी अविश्वसनीय डेटा के डिसेरिएलाइज़ेशन से उत्पन्न होती है, जो हमलावरों को उचित प्राधिकरण के बिना, दूरस्थ रूप से दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति देता है।

सक्रिय हमले और प्रभावित प्रणालियाँ

शोधकर्ताओं ने पुष्टि की है कि साइबर अपराधी ऑन-प्रिमाइसेस SharePoint सर्वर इंस्टेंस के विरुद्ध इस भेद्यता का सक्रिय रूप से फायदा उठा रहे हैं। महत्वपूर्ण बात यह है कि Microsoft 365 में SharePoint ऑनलाइन इससे अप्रभावित रहता है। हमलावर इस बात का फायदा उठा रहे हैं कि SharePoint डीसेरिएलाइज़ेशन के दौरान अविश्वसनीय ऑब्जेक्ट्स को कैसे संभालता है, जिससे उन्हें उपयोगकर्ता प्रमाणीकरण से पहले कमांड निष्पादित करने की क्षमता मिल जाती है। सिस्टम में घुसने के बाद, हमलावर चुराई गई मशीन कुंजियों का उपयोग करके जाली पेलोड उत्पन्न कर सकते हैं, जिससे पार्श्व गति और निरंतर पहुँच संभव हो जाती है। इससे पता लगाना और उसे कम करना चुनौतीपूर्ण हो जाता है, क्योंकि उनकी गतिविधि वैध SharePoint ट्रैफ़िक की नकल कर सकती है।

जटिल शोषण श्रृंखलाएँ

साक्ष्य बताते हैं कि CVE-2025-53770 का इस्तेमाल अन्य खामियों के साथ किया जा रहा है, जिनमें CVE-2025-49706 (6.3 CVSS स्कोर वाला एक स्पूफिंग बग) और CVE-2025-49704 शामिल हैं, जिससे ToolShell नामक एक उन्नत शोषण श्रृंखला बनती है। हमलावर CVE-2025-49706 का इस्तेमाल रिमोट कोड निष्पादन पेलोड प्रदान करने के लिए करते हैं जो CVE-2025-49704 का शोषण करते हैं। HTTP रेफ़रर के रूप में '_layouts/SignOut.aspx' जोड़ने से कथित तौर पर CVE-2025-49706 CVE-2025-53770 में बदल जाता है, जिससे शोषण प्रक्रिया अधिक सुव्यवस्थित हो जाती है।

ये हमले आमतौर पर PowerShell के ज़रिए वितरित ASPX पेलोड से जुड़े होते हैं, जिनका लक्ष्य सर्वर के MachineKey कॉन्फ़िगरेशन (ValidationKey और DecryptionKey) को चुराना होता है। ये कुंजियाँ महत्वपूर्ण हैं क्योंकि ये हमलावरों को दुर्भावनापूर्ण __VIEWSTATE पेलोड बनाने की अनुमति देती हैं जिन्हें SharePoint मान्य मान लेगा, जिससे कोई भी प्रमाणित अनुरोध रिमोट कोड निष्पादन के अवसर में बदल जाएगा।

समझौते का पैमाना

अब तक, दुनिया भर में 85 से ज़्यादा SharePoint सर्वरों के साथ छेड़छाड़ की जा चुकी है, जिसका असर बहुराष्ट्रीय निगमों और सरकारी एजेंसियों सहित कम से कम 29 संगठनों पर पड़ा है। एक बार जब हमलावरों के पास क्रिप्टोग्राफ़िक कुंजियाँ पहुँच जाती हैं, तो उनका निवारण कहीं अधिक जटिल हो जाता है। सुरक्षा पैच लगाने के बाद भी, चोरी की गई कुंजियाँ हमलावरों को पहुँच बनाए रखने की अनुमति दे सकती हैं, जब तक कि उन कुंजियों को मैन्युअल रूप से घुमाया या पुनः कॉन्फ़िगर न किया जाए।

शमन के उपाय

आधिकारिक पैच उपलब्ध होने तक, माइक्रोसॉफ्ट ने संगठनों को SharePoint में एंटीमैलवेयर स्कैन इंटरफ़ेस (AMSI) एकीकरण सक्षम करने की सलाह दी थी। AMSI को सक्रिय करने में असमर्थ ग्राहकों के लिए, असुरक्षित SharePoint सर्वरों को इंटरनेट से डिस्कनेक्ट करने की पुरज़ोर सिफ़ारिश की गई थी।

लगातार हो रहे शोषण की रिपोर्टों के बाद, माइक्रोसॉफ्ट ने कमजोर प्रणालियों की सुरक्षा के लिए CVE-2025-53770 और एक नई खोजी गई खामी, CVE-2025-53771, दोनों के लिए पैच जारी किए हैं।

CISA की चेतावनी

अमेरिकी साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी (CISA) ने CVE-2025-53770 के सक्रिय शोषण की पुष्टि करते हुए एक चेतावनी जारी की है। यह भेद्यता हमलावरों को नेटवर्क पर अनधिकृत, दूरस्थ कोड निष्पादन करने की अनुमति देती है, जिससे किसी भी अनपैच किए गए SharePoint परिवेश के लिए गंभीर खतरा पैदा होता है।