CVE-2025-53770 ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀ
ਮਾਈਕ੍ਰੋਸਾਫਟ ਸ਼ੇਅਰਪੁਆਇੰਟ ਸਰਵਰ ਵਿੱਚ ਇੱਕ ਗੰਭੀਰ ਸੁਰੱਖਿਆ ਨੁਕਸ ਇੱਕ ਚੱਲ ਰਹੀ, ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਸਾਈਬਰ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਦਾ ਕੇਂਦਰ ਬਣ ਗਿਆ ਹੈ। 9.8 ਦੇ CVSS ਸਕੋਰ ਦੇ ਨਾਲ CVE-2025-53770 ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ, ਇਸ ਕਮਜ਼ੋਰੀ ਨੂੰ ਜ਼ੀਰੋ-ਡੇਅ ਵਜੋਂ ਸ਼੍ਰੇਣੀਬੱਧ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਇਹ CVE-2025-49704 (CVSS 8.8) ਨਾਲ ਨੇੜਿਓਂ ਸੰਬੰਧਿਤ ਹੈ, ਇੱਕ ਕੋਡ ਇੰਜੈਕਸ਼ਨ ਅਤੇ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਬੱਗ ਜੋ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਜੁਲਾਈ 2025 ਪੈਚ ਮੰਗਲਵਾਰ ਅਪਡੇਟਸ ਦੌਰਾਨ ਸੰਬੋਧਿਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ ਨੁਕਸ ਗੈਰ-ਭਰੋਸੇਯੋਗ ਡੇਟਾ ਦੇ ਡੀਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ ਤੋਂ ਪੈਦਾ ਹੁੰਦਾ ਹੈ, ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਰਿਮੋਟਲੀ ਅਤੇ ਸਹੀ ਅਧਿਕਾਰ ਤੋਂ ਬਿਨਾਂ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਸਰਗਰਮ ਹਮਲੇ ਅਤੇ ਪ੍ਰਭਾਵਿਤ ਸਿਸਟਮ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਹੈ ਕਿ ਸਾਈਬਰ ਅਪਰਾਧੀ ਇਸ ਕਮਜ਼ੋਰੀ ਦਾ ਸਰਗਰਮੀ ਨਾਲ ਓਨ-ਪ੍ਰੀਮਿਸਸ ਸ਼ੇਅਰਪੁਆਇੰਟ ਸਰਵਰ ਉਦਾਹਰਣਾਂ ਦੇ ਵਿਰੁੱਧ ਸ਼ੋਸ਼ਣ ਕਰ ਰਹੇ ਹਨ। ਮਹੱਤਵਪੂਰਨ ਗੱਲ ਇਹ ਹੈ ਕਿ ਮਾਈਕ੍ਰੋਸਾਫਟ 365 ਵਿੱਚ ਸ਼ੇਅਰਪੁਆਇੰਟ ਔਨਲਾਈਨ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਰਹਿੰਦਾ। ਹਮਲਾਵਰ ਇਸ ਗੱਲ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਰਹੇ ਹਨ ਕਿ ਸ਼ੇਅਰਪੁਆਇੰਟ ਡੀਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ ਦੌਰਾਨ ਅਵਿਸ਼ਵਾਸਯੋਗ ਵਸਤੂਆਂ ਨੂੰ ਕਿਵੇਂ ਸੰਭਾਲਦਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣੀਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਯੋਗਤਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਸਿਸਟਮ ਦੇ ਅੰਦਰ, ਹਮਲਾਵਰ ਚੋਰੀ ਹੋਈ ਮਸ਼ੀਨ ਕੁੰਜੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਜਾਅਲੀ ਪੇਲੋਡ ਤਿਆਰ ਕਰ ਸਕਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਪਾਸੇ ਦੀ ਗਤੀ ਅਤੇ ਨਿਰੰਤਰ ਪਹੁੰਚ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਜਾ ਸਕਦਾ ਹੈ। ਇਹ ਖੋਜ ਅਤੇ ਘਟਾਉਣ ਨੂੰ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਉਂਦਾ ਹੈ, ਕਿਉਂਕਿ ਉਹਨਾਂ ਦੀ ਗਤੀਵਿਧੀ ਜਾਇਜ਼ ਸ਼ੇਅਰਪੁਆਇੰਟ ਟ੍ਰੈਫਿਕ ਦੀ ਨਕਲ ਕਰ ਸਕਦੀ ਹੈ।
ਗੁੰਝਲਦਾਰ ਸ਼ੋਸ਼ਣ ਚੇਨ
ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ CVE-2025-53770 ਨੂੰ ਹੋਰ ਖਾਮੀਆਂ ਦੇ ਨਾਲ ਵਰਤਿਆ ਜਾ ਰਿਹਾ ਹੈ, ਜਿਸ ਵਿੱਚ CVE-2025-49706 (6.3 ਦੇ CVSS ਸਕੋਰ ਵਾਲਾ ਇੱਕ ਸਪੂਫਿੰਗ ਬੱਗ) ਅਤੇ CVE-2025-49704 ਸ਼ਾਮਲ ਹਨ, ਇੱਕ ਉੱਨਤ ਐਕਸਪਲੋਇਟ ਚੇਨ ਬਣਾਉਣ ਲਈ ਜਿਸਨੂੰ ਟੂਲਸ਼ੈਲ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਹਮਲਾਵਰ CVE-2025-49706 ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹਨ ਤਾਂ ਜੋ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕੀਤੇ ਜਾ ਸਕਣ ਜੋ CVE-2025-49704 ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ। HTTP ਰੈਫਰਰ ਵਜੋਂ '_layouts/SignOut.aspx' ਨੂੰ ਜੋੜਨ ਨਾਲ CVE-2025-49706 ਨੂੰ CVE-2025-53770 ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇੱਕ ਹੋਰ ਸੁਚਾਰੂ ਸ਼ੋਸ਼ਣ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।
ਹਮਲਿਆਂ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ ਪਾਵਰਸ਼ੈਲ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤੇ ASPX ਪੇਲੋਡ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ, ਜਿਸਦਾ ਉਦੇਸ਼ ਸਰਵਰ ਦੀ ਮਸ਼ੀਨਕੀ ਸੰਰਚਨਾ (ਵੈਲੀਡੇਸ਼ਨਕੀ ਅਤੇ ਡੀਕ੍ਰਿਪਸ਼ਨਕੀ) ਚੋਰੀ ਕਰਨਾ ਹੁੰਦਾ ਹੈ। ਇਹ ਕੁੰਜੀਆਂ ਮਹੱਤਵਪੂਰਨ ਹਨ ਕਿਉਂਕਿ ਇਹ ਹਮਲਾਵਰਾਂ ਨੂੰ ਖਤਰਨਾਕ __VIEWSTATE ਪੇਲੋਡ ਬਣਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ SharePoint ਵੈਧ ਵਜੋਂ ਸਵੀਕਾਰ ਕਰੇਗਾ, ਕਿਸੇ ਵੀ ਪ੍ਰਮਾਣਿਤ ਬੇਨਤੀ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਮੌਕੇ ਵਿੱਚ ਬਦਲਦਾ ਹੈ।
ਸਮਝੌਤੇ ਦਾ ਪੈਮਾਨਾ
ਹੁਣ ਤੱਕ, ਦੁਨੀਆ ਭਰ ਵਿੱਚ 85 ਤੋਂ ਵੱਧ ਸ਼ੇਅਰਪੁਆਇੰਟ ਸਰਵਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਘੱਟੋ-ਘੱਟ 29 ਸੰਗਠਨ ਪ੍ਰਭਾਵਿਤ ਹੋਏ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਬਹੁ-ਰਾਸ਼ਟਰੀ ਕਾਰਪੋਰੇਸ਼ਨਾਂ ਅਤੇ ਸਰਕਾਰੀ ਏਜੰਸੀਆਂ ਸ਼ਾਮਲ ਹਨ। ਇੱਕ ਵਾਰ ਹਮਲਾਵਰਾਂ ਕੋਲ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਕੁੰਜੀਆਂ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਉਪਚਾਰ ਬਹੁਤ ਜ਼ਿਆਦਾ ਗੁੰਝਲਦਾਰ ਹੋ ਜਾਂਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਪੈਚ ਲਾਗੂ ਕਰਨ ਤੋਂ ਬਾਅਦ ਵੀ, ਚੋਰੀ ਹੋਈਆਂ ਕੁੰਜੀਆਂ ਹਮਲਾਵਰਾਂ ਨੂੰ ਅਜੇ ਵੀ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖਣ ਦੀ ਆਗਿਆ ਦੇ ਸਕਦੀਆਂ ਹਨ ਜਦੋਂ ਤੱਕ ਕਿ ਉਹਨਾਂ ਕੁੰਜੀਆਂ ਨੂੰ ਹੱਥੀਂ ਘੁੰਮਾਇਆ ਜਾਂ ਦੁਬਾਰਾ ਸੰਰਚਿਤ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ।
ਘਟਾਉਣ ਦੇ ਉਪਾਅ
ਜਦੋਂ ਤੱਕ ਅਧਿਕਾਰਤ ਪੈਚ ਉਪਲਬਧ ਨਹੀਂ ਹੋ ਜਾਂਦਾ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੇ ਸੰਗਠਨਾਂ ਨੂੰ ਸ਼ੇਅਰਪੁਆਇੰਟ ਵਿੱਚ ਐਂਟੀਮਾਲਵੇਅਰ ਸਕੈਨ ਇੰਟਰਫੇਸ (AMSI) ਏਕੀਕਰਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਦੀ ਸਲਾਹ ਦਿੱਤੀ। AMSI ਨੂੰ ਸਰਗਰਮ ਕਰਨ ਵਿੱਚ ਅਸਮਰੱਥ ਗਾਹਕਾਂ ਲਈ, ਕਮਜ਼ੋਰ ਸ਼ੇਅਰਪੁਆਇੰਟ ਸਰਵਰਾਂ ਨੂੰ ਇੰਟਰਨੈਟ ਤੋਂ ਡਿਸਕਨੈਕਟ ਕਰਨ ਦੀ ਜ਼ੋਰਦਾਰ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਗਈ ਸੀ।
ਚੱਲ ਰਹੀਆਂ ਸ਼ੋਸ਼ਣ ਰਿਪੋਰਟਾਂ ਤੋਂ ਬਾਅਦ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੇ ਕਮਜ਼ੋਰ ਸਿਸਟਮਾਂ ਦੀ ਰੱਖਿਆ ਲਈ CVE-2025-53770 ਅਤੇ ਇੱਕ ਨਵੀਂ ਖੋਜੀ ਗਈ ਨੁਕਸ, CVE-2025-53771 ਦੋਵਾਂ ਲਈ ਪੈਚ ਜਾਰੀ ਕੀਤੇ ਹਨ।
CISA ਦੀ ਚੇਤਾਵਨੀ
ਯੂਐਸ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸੁਰੱਖਿਆ ਏਜੰਸੀ (CISA) ਨੇ CVE-2025-53770 ਦੇ ਸਰਗਰਮ ਸ਼ੋਸ਼ਣ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦੇ ਹੋਏ ਇੱਕ ਚੇਤਾਵਨੀ ਜਾਰੀ ਕੀਤੀ ਹੈ। ਇਹ ਕਮਜ਼ੋਰੀ ਹਮਲਾਵਰਾਂ ਨੂੰ ਨੈੱਟਵਰਕ ਉੱਤੇ ਗੈਰ-ਪ੍ਰਮਾਣਿਤ, ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਜੋ ਕਿਸੇ ਵੀ ਅਣ-ਪੈਚ ਕੀਤੇ ਸ਼ੇਅਰਪੁਆਇੰਟ ਵਾਤਾਵਰਣ ਲਈ ਇੱਕ ਗੰਭੀਰ ਖ਼ਤਰਾ ਪੈਦਾ ਕਰਦੀ ਹੈ।
