روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ مهاجمان ناشناس بهصورت فعال شرکتهایی را هدف قرار دادهاند که از نسخههای SharePoint Server 2016، SharePoint Server 2019 و SharePoint Server Subscription Edition استفاده میکنند. این حملات از طریق زنجیرهای از دو آسیبپذیری با شناسههای CVE-2025-53770 با امتیاز CVSS معادل 9.8و CVE-2025-53771 با امتیاز 6.3 انجام میشوند که به مهاجمان امکان اجرای کد مخرب از راه دور روی سرور را میدهد. اهمیت موضوع با توجه به انتشار پچهای امنیتی توسط مایکروسافت در نیمهشب یکشنبه، بیشتر نمایان میشود. کارشناسان امنیتی توصیه میکنند این بهروزرسانیها هرچه سریعتر نصب شوند. استفاده از این دو آسیبپذیری به مهاجمان غیرمجاز اجازه میدهد کنترل کامل سرورهای شیرپوینت را در اختیار بگیرند و علاوه بر دسترسی به تمام اطلاعات موجود، از این سرورها برای گسترش حملات در زیرساخت شبکه نیز استفاده کنند.
پژوهشگران شرکت EYE Security گزارش دادهاند که پیش از انتشار بولتنهای رسمی مایکروسافت، دو موج از حملات با استفاده از این زنجیره آسیبپذیری مشاهده شده که منجر به نفوذ به دهها سرور شده است. مهاجمان با نصب وبشل روی سرورهای آسیبپذیر، کلیدهای رمزنگاری را سرقت کردهاند که این کلیدها امکان جعل هویت سرویسها یا کاربران معتبر را برای آنان فراهم میکند. به این ترتیب، حتی پس از اعمال پچ امنیتی و حذف بدافزار، مهاجمان همچنان میتوانند به سرورها دسترسی داشته باشند. این زنجیره جدید آسیبپذیری شباهت زیادی با زنجیره آسیبپذیری موسوم به ToolShell دارد که شامل دو آسیبپذیری CVE-2025-49704 و CVE-2025-49706 است و در مسابقه Pwn2Own در ماه مه در برلین معرفی شد. با وجود ارائه پچ برای آسیبپذیریهای پیشین، به نظر میرسد که اصلاحات انجامشده کامل نبوده است.
شواهد حاکی از این است که آسیبپذیریهای جدید در واقع نسخه بهروزشده زنجیره ToolShell یا روش دور زدن پچهای قبلی هستند. این موضوع در توضیحات مایکروسافت نیز تأیید شده است: «بهروزرسانی مربوط به CVE-2025-53770 حفاظتهای قویتری نسبت به پچ CVE-2025-49704 دارد و بهروزرسانی CVE-2025-53771 نیز نسبت به پچ CVE-2025-49706 محافظت بهتری فراهم میکند.»
راهکار امنیتی
اولین اقدام ضروری، نصب پچهای امنیتی است. پیش از اعمال بهروزرسانیهای اضطراری منتشرشده در روز گذشته، باید بهروزرسانیهای عادی ماه ژوئیه با شناسههای KB5002741 و KB5002744 نصب شوند. در زمان نگارش این گزارش، برای نسخه SharePoint 2016 پچی منتشر نشده است؛ بنابراین اگر هنوز از این نسخه استفاده میکنید، باید به اقدامات جبرانی متکی باشید. همچنین باید اطمینان حاصل شود که راهکارهای امنیتی قوی روی سرورها نصب شدهاند و رابط اسکن ضدبدافزار (AMSI) فعال است. AMSI به برنامهها و سرویسهای مایکروسافت کمک میکند تا با محصولات امنیتی در حال اجرا تعامل داشته باشند. پژوهشگران توصیه میکنند که کلیدهای ماشین در ASP.NET روی سرورهای آسیبپذیر SharePoint تعویض شوند (راهنمای انجام این کار در اسناد رسمی مایکروسافت موجود است). همچنین لازم است سایر کلیدهای رمزنگاری و اطلاعات کاربری که ممکن است از طریق این آسیبپذیریها در معرض قرار گرفته باشند، نیز جایگزین شوند. اگر دلیلی برای مشکوک بودن به حمله روی سرورهای SharePoint خود دارید، بررسی نشانههای نفوذ توصیه میشود؛ بهویژه بررسی وجود فایل مخرب spinstall0.aspx. در صورتی که تیم پاسخگویی به رخداد درونسازمانی شما منابع لازم برای شناسایی شاخصهای نفوذ یا مدیریت رخداد را در اختیار ندارد، توصیه میشود از کارشناسان امنیتی خارج از سازمان کمک بگیرید.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.