CVE-2025-53770 शून्य-दिन जोखिम
माइक्रोसफ्ट शेयरपोइन्ट सर्भरमा रहेको गम्भीर सुरक्षा त्रुटि चलिरहेको, ठूलो स्तरको साइबर आक्रमण अभियानको केन्द्रबिन्दु बनेको छ। CVE-2025-53770 को रूपमा ट्र्याक गरिएको CVSS स्कोर 9.8, यो जोखिमलाई शून्य-दिनको रूपमा वर्गीकृत गरिएको छ र CVE-2025-49704 (CVSS 8.8) सँग नजिकबाट सम्बन्धित छ, जुन कोड इन्जेक्सन र रिमोट कोड कार्यान्वयन बग हो जुन माइक्रोसफ्टको जुलाई २०२५ प्याच मंगलबार अपडेटहरूमा सम्बोधन गरिएको थियो। यो त्रुटि अविश्वसनीय डेटाको डिसेरियलाइजेशनबाट उत्पन्न हुन्छ, जसले आक्रमणकारीहरूलाई टाढाबाट र उचित प्राधिकरण बिना दुर्भावनापूर्ण कोड कार्यान्वयन गर्न अनुमति दिन्छ।
सामग्रीको तालिका
सक्रिय आक्रमणहरू र प्रभावित प्रणालीहरू
अनुसन्धानकर्ताहरूले पुष्टि गरेका छन् कि साइबर अपराधीहरूले अन-प्रिमाइसेस SharePoint सर्भर उदाहरणहरू विरुद्ध यो जोखिमको सक्रिय रूपमा शोषण गरिरहेका छन्। महत्त्वपूर्ण कुरा, Microsoft 365 मा SharePoint अनलाइन अप्रभावित रहन्छ। आक्रमणकारीहरूले deserialization को समयमा SharePoint ले अविश्वसनीय वस्तुहरू कसरी ह्यान्डल गर्छ भन्ने कुराको शोषण गरिरहेका छन्, जसले गर्दा प्रयोगकर्ता प्रमाणीकरण अघि आदेशहरू कार्यान्वयन गर्ने क्षमता प्रदान गर्दछ। प्रणाली भित्र पसेपछि, आक्रमणकारीहरूले चोरी भएको मेसिन कुञ्जीहरू प्रयोग गरेर नक्कली पेलोडहरू उत्पन्न गर्न सक्छन्, जसले पार्श्व आन्दोलन र निरन्तर पहुँच सक्षम बनाउँछ। यसले पत्ता लगाउने र न्यूनीकरणलाई चुनौतीपूर्ण बनाउँछ, किनकि तिनीहरूको गतिविधिले वैध SharePoint ट्राफिकको नक्कल गर्न सक्छ।
जटिल शोषण चेनहरू
प्रमाणले सुझाव दिन्छ कि CVE-2025-53770 लाई CVE-2025-49706 (CVSS स्कोर ६.३ भएको स्पूफिङ बग) र CVE-2025-49704 सहित अन्य त्रुटिहरूसँगै प्रयोग गरिँदैछ, जसले ToolShell भनेर चिनिने उन्नत शोषण श्रृंखला बनाउँछ। आक्रमणकारीहरूले CVE-2025-49704 शोषण गर्ने रिमोट कोड कार्यान्वयन पेलोडहरू डेलिभर गर्न CVE-2025-49706 को लाभ उठाउँछन्। HTTP रेफररको रूपमा '_layouts/SignOut.aspx' थप्दा CVE-2025-49706 लाई CVE-2025-53770 मा रूपान्तरण गरिन्छ, जसले गर्दा थप सुव्यवस्थित शोषण प्रक्रिया सक्षम हुन्छ।
आक्रमणहरूमा सामान्यतया PowerShell मार्फत डेलिभर गरिएका ASPX पेलोडहरू समावेश हुन्छन्, जसको लक्ष्य सर्भरको MachineKey कन्फिगरेसन (ValidationKey र DecryptionKey) चोर्नु हो। यी कुञ्जीहरू महत्त्वपूर्ण छन् किनभने तिनीहरूले आक्रमणकारीहरूलाई खराब __VIEWSTATE पेलोडहरू सिर्जना गर्न अनुमति दिन्छन् जुन SharePoint ले मान्यको रूपमा स्वीकार गर्नेछ, प्रभावकारी रूपमा कुनै पनि प्रमाणित अनुरोधलाई रिमोट कोड कार्यान्वयन अवसरमा परिणत गर्दछ।
सम्झौताको मात्रा
हालसम्म, विश्वभर ८५ भन्दा बढी SharePoint सर्भरहरू सम्झौता गरिएका छन्, जसले बहुराष्ट्रिय निगमहरू र सरकारी एजेन्सीहरू सहित कम्तिमा २९ संस्थाहरूलाई असर गरेको छ। एक पटक आक्रमणकारीहरूसँग क्रिप्टोग्राफिक कुञ्जीहरू भएपछि, उपचार धेरै जटिल हुन्छ। सुरक्षा प्याच लागू गरेपछि पनि, चोरी भएका कुञ्जीहरूले आक्रमणकारीहरूलाई पहुँच कायम राख्न अनुमति दिन सक्छन् जबसम्म ती कुञ्जीहरू म्यानुअल रूपमा घुमाइँदैन वा पुन: कन्फिगर गरिँदैन।
न्यूनीकरणका उपायहरू
आधिकारिक प्याच उपलब्ध नभएसम्म, माइक्रोसफ्टले संस्थाहरूलाई SharePoint मा एन्टिमालवेयर स्क्यान इन्टरफेस (AMSI) एकीकरण सक्षम गर्न सल्लाह दियो। AMSI सक्रिय गर्न नसक्ने ग्राहकहरूका लागि, इन्टरनेटबाट कमजोर SharePoint सर्भरहरू विच्छेद गर्न दृढतापूर्वक सिफारिस गरिएको थियो।
चलिरहेको शोषण रिपोर्टहरू पछि, माइक्रोसफ्टले कमजोर प्रणालीहरूलाई सुरक्षित राख्न CVE-2025-53770 र नयाँ पत्ता लागेको त्रुटि, CVE-2025-53771 दुवैको लागि प्याचहरू जारी गरेको छ।
CISA को चेतावनी
अमेरिकी साइबरसुरक्षा र पूर्वाधार सुरक्षा एजेन्सी (CISA) ले CVE-2025-53770 को सक्रिय शोषण पुष्टि गर्ने अलर्ट जारी गरेको छ। यो जोखिमले आक्रमणकारीहरूलाई नेटवर्कमा अप्रमाणित, रिमोट कोड कार्यान्वयन प्राप्त गर्न अनुमति दिन्छ, जसले कुनै पनि अनप्याच गरिएको SharePoint वातावरणको लागि गम्भीर खतरा निम्त्याउँछ।
