خبر جدید و داغ امنیتی! 😅 اگه اهل دنیای IT باشی یا تو یه سازمان کار میکنی که از SharePoint Server استفاده میکنه (شیرپوینت یعنی اون سیستمی که شرکتها برای مدیریت مدارک و کارهای تیمی میارن وسط)، حتماً باید حواست جمع باشه؛ چون مایکروسافت به خاطر یه باگ عجیب و غریب و خطرناک داره آب و آتیش رو با هم قاطی میکنه.
قضیه از این قراره که ۲۰ جولای (آخر تیرماهِ خودمون)، یه آپدیت امنیتی اضطراری اومد بیرون. دلیلش هم یه آسیبپذیری جدید توی شیرپوینت بود که چندتا هکر خرابکار دارن بدجوری باهاش وارد شبکهها میشن! کلی اداره دولتی آمریکا و کانادا و حتی شرکتهای انرژی و دانشگاهها خوراک این هکرها شدن. واشنگتنپست گفته حداقل دو تا سازمان فدرال آمریکایی شاخک هکرها رو تو سرورشون حس کردن. 😑
این باگ جدید اسم قشنگش CVE-2025-53770 هست (CVE یه نوع شناسه برای گزارش آسیبپذیریهای امنیتی تو دنیا هست) و اولش یه سری ضعفها رو تو آپدیت ۸ جولای تا حدی رفع کرده بودن، اما کامل نبود و دوباره مشکلساز شد. مهمتر از همه اینه که فقط اونایی مشکل دارن که شیرپوینت سرور رو خودشون توی شرکت نصب کردن (On-premise). شیرپوینت آنلاین و آدریسهای Microsoft 365 اصلاً اسیبپذیر نیستن، پس اگه اونها رو داری، راحت باش. 😉
تو همین وسط، یه نهاد حکومتی معروف به CISA (یعنی Cybersecurity & Infrastructure Security Agency، یه اداره آمریکایی که کارش رصد امنیت سایبری شرکتهاست) گفته این CVE-2025-53770 عملاً یه مدل جدیدتر از یه باگ قبلیه (CVE-2025-49706) که مایکروسافت ماه پیش روش پچ داده بود، ولی خب کافی نبوده انگار!
حالا هکرها دارن با این نقص امنیتی چی کار میکنن؟ ظاهراً روی سرورای شیرپوینت یه باکتوری به نام ToolShell نصب میکنن (ToolShell یه جور ابزار مخفیه که اجازه دسترسی کامل و مخفی به هکرها میده تا بتونن هرکاری دلشون میخواد بکنن. Remote Access یعنی میتونن از هرجای دنیا به سرورها وصل شن). با این حساب، عملاً میتونن کل فایلهای شیرپوینت، تنظیمات داخلی و حتی اجرای دستور روی شبکه رو کنترل کنن😐.
یه شرکت امنیت سایبری اروپایی به اسم Eye Security گفته اولین بار ۱۸ جولای چیزای مشکوک رو دیدن و بعدش فهمیدن کلی سرور شیرپوینت با همین آسیبپذیری ویروسی شدن و ToolShell روشون نصبه. جالب اینجاست که اون هکرها سر کیسه رو شل نکردن و اومدن کلیدهای ASP.NET Machine key سرور رو هم دزدیدن (این کلیدها یه جور کلید رمزنگاری هستن که اگه کسی داشته باشه، میتونه بعدها هم بازم سرور رو هک کنه و کاری کنه که سرور فکر کنه این یارو دوست خودشه!).
Eye Security هشدار داده که فقط آپدیت کردن شیرپوینت کافی نیست، صاحبان سرور باید حتماً این کلیدها رو عوض کنن و سرویس IIS (همون سیستم اجرای سایتها روی سرور) رو ریستارت کنن. یعنی کل موضوع جدیه و نباید منتظر بمونن تا آپدیت بعدی شرکت بیاد! تهدید همین حالا فعاله، زیاد شده و داره همهجا پخش میشه.
مایکروسافت الان یه پچ فوری داده برای SharePoint Server Subscription Edition و SharePoint Server 2019، ولی هنوز داره روی پچهایی برای نسخههای پشتیبانیشده دیگهاش (مثل SharePoint 2016) کار میکنه و کامل نشده.
CISA به سازمانها گفته حتماً Anti-Malware Scan Interface یا همون AMSI رو فعال کنن (AMSI یعنی قابلیتی که میتونه جلوی ورود بدافزارها به سیستم رو بگیره)، Microsoft Defender AV رو روی همه سرورا نصب کنن، و تا وقتی که پچ رسمی نیومده کلاً سرورای آسیبپذیر رو از اینترنت قطع کنن تا از بیرون دسترسی بهشون نباشه.
یه کمپانی امنیتی دیگه به اسم Rapid7 گفته این باگ جدید، به یه سری آسیبپذیریهای قبلی مثل CVE-2025-49704 (که توی مسابقات هک معروف Pwn2Own ماه می امسال نشون داده شد) و همین CVE-2025-49706 ربط داره که مایکروسافت درست و حسابی توی Patch Tuesday (سهشنبه پچ، یعنی همون روزی که مایکروسافت معمولاً وصلههای امنیتی مهمش رو منتشر میکنه) نتونست کامل فیکسشون کنه.
خود مایکروسافت هم جداگانه یه پچ داده برای یه باگ خواهر و برادر همین خانواده به اسم CVE-2025-53771؛ گفته هنوز کسی تاحالا از این یکی سو استفاده نکرده، اما داشتن این پچ سیستم رو قویتر و امنتر میکنه نسبت به اون یکی باگها.
خلاصه اگه با شیرپوینت کار داری یا تو شرکتتون IT هستی، سریع دست به کار شو، پچها رو نصب کن، کلید رمزنگاری رو عوض کن، IIS رو ریستارت کن و فعلاً اینترنت رو از سرور قطع کن تا خبر بدتری نشه! هر آپدیت جدیدی هم بیاد، حتما از منبع رسمی بخون. امنیت مثل آب خوردن مهمه — حتی اگه فکر کنی به تو ربطی نداره! 😅
منبع: +
