روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  مهاجمان ناشناس به‌صورت فعال شرکت‌هایی را هدف قرار داده‌اند که از نسخه‌های SharePoint Server 2016، SharePoint Server 2019  و SharePoint Server Subscription Edition استفاده می‌کنند. این حملات از طریق زنجیره‌ای از دو آسیب‌پذیری با شناسه‌های CVE-2025-53770  با امتیاز CVSS معادل 9.8و CVE-2025-53771 با امتیاز 6.3 انجام می‌شوند که به مهاجمان امکان اجرای کد مخرب از راه دور روی سرور را می‌دهد. اهمیت موضوع با توجه به انتشار پچ‌های امنیتی توسط مایکروسافت در نیمه‌شب یک‌شنبه، بیشتر نمایان می‌شود. کارشناسان امنیتی توصیه می‌کنند این به‌روزرسانی‌ها هرچه سریع‌تر نصب شوند. استفاده از این دو آسیب‌پذیری به مهاجمان غیرمجاز اجازه می‌دهد کنترل کامل سرورهای شیرپوینت را در اختیار بگیرند و علاوه بر دسترسی به تمام اطلاعات موجود، از این سرورها برای گسترش حملات در زیرساخت شبکه نیز استفاده کنند.

پژوهشگران شرکت EYE Security گزارش داده‌اند که پیش از انتشار بولتن‌های رسمی مایکروسافت، دو موج از حملات با استفاده از این زنجیره آسیب‌پذیری مشاهده شده که منجر به نفوذ به ده‌ها سرور شده است. مهاجمان با نصب وب‌شل روی سرورهای آسیب‌پذیر، کلیدهای رمزنگاری را سرقت کرده‌اند که این کلیدها امکان جعل هویت سرویس‌ها یا کاربران معتبر را برای آنان فراهم می‌کند. به این ترتیب، حتی پس از اعمال پچ امنیتی و حذف بدافزار، مهاجمان همچنان می‌توانند به سرورها دسترسی داشته باشند. این زنجیره جدید آسیب‌پذیری شباهت زیادی با زنجیره آسیب‌پذیری موسوم به ToolShell دارد که شامل دو آسیب‌پذیری CVE-2025-49704 و CVE-2025-49706 است و در مسابقه Pwn2Own در ماه مه در برلین معرفی شد. با وجود ارائه پچ برای آسیب‌پذیری‌های پیشین، به نظر می‌رسد که اصلاحات انجام‌شده کامل نبوده است.

شواهد حاکی از این است که آسیب‌پذیری‌های جدید در واقع نسخه به‌روزشده زنجیره ToolShell یا روش دور زدن پچ‌های قبلی هستند. این موضوع در توضیحات مایکروسافت نیز تأیید شده است: «به‌روزرسانی مربوط به CVE-2025-53770  حفاظت‌های قوی‌تری نسبت به پچ CVE-2025-49704 دارد و به‌روزرسانی CVE-2025-53771  نیز نسبت به پچ CVE-2025-49706 محافظت بهتری فراهم می‌کند.»

راهکار امنیتی

اولین اقدام ضروری، نصب پچ‌های امنیتی است. پیش از اعمال به‌روزرسانی‌های اضطراری منتشرشده در روز گذشته، باید به‌روزرسانی‌های عادی ماه ژوئیه با شناسه‌های KB5002741 و KB5002744 نصب شوند. در زمان نگارش این گزارش، برای نسخه SharePoint 2016 پچی منتشر نشده است؛ بنابراین اگر هنوز از این نسخه استفاده می‌کنید، باید به اقدامات جبرانی متکی باشید. همچنین باید اطمینان حاصل شود که راهکارهای امنیتی قوی روی سرورها نصب شده‌اند و رابط اسکن ضدبدافزار (AMSI) فعال است. AMSI به برنامه‌ها و سرویس‌های مایکروسافت کمک می‌کند تا با محصولات امنیتی در حال اجرا تعامل داشته باشند. پژوهشگران توصیه می‌کنند که کلیدهای ماشین در ASP.NET روی سرورهای آسیب‌پذیر SharePoint تعویض شوند (راهنمای انجام این کار در اسناد رسمی مایکروسافت موجود است). همچنین لازم است سایر کلیدهای رمزنگاری و اطلاعات کاربری که ممکن است از طریق این آسیب‌پذیری‌ها در معرض قرار گرفته باشند، نیز جایگزین شوند. اگر دلیلی برای مشکوک بودن به حمله روی سرورهای SharePoint خود دارید، بررسی نشانه‌های نفوذ توصیه می‌شود؛ به‌ویژه بررسی وجود فایل مخرب spinstall0.aspx.  در صورتی که تیم پاسخ‌گویی به رخداد درون‌سازمانی شما منابع لازم برای شناسایی شاخص‌های نفوذ یا مدیریت رخداد را در اختیار ندارد، توصیه می‌شود از کارشناسان امنیتی خارج از سازمان کمک بگیرید.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.