آخرین و شدیدترین آسیبپذیری امنیتی فعلی که بسیار نگرانکننده است، مربوط به Microsoft SharePoint On‑Premises میباشد. نسخههای CVE‑2025‑53770 و CVE‑2025‑53771 تحت حملهای با نام ToolShell قرار گرفتهاند که در وضعیت Zero‑Day مورد استفاده فعال مهاجمان هستند. مخصوصاً CVE‑2025‑53770 با امتیاز CVSS حدود 9.8/10، اجازه اجرای کد از راه دور را بدون احراز هویت میدهد.
شرح آسیبپذیری CVE-2025-53770
- این نقص ناشی از Deserialization ناامن دادههای ورودی به SharePoint است که به مهاجم اجازه میدهد بدون احراز هویت، یک Payload مخرب را اجرا کند.
- برای بهرهبرداری، مهاجم میتواند از حمله POST به endpoint /_layouts/15/ToolPane.aspx با هدر Referer جعلی استفاده کند تا bypass شود و فایل ASPX مخرب بارگذاری گردد.
- این آسیبپذیری روی SharePoint On‑Premises نسخههای 2019 و Subscription Edition تأثیر دارد و نسخه ابری SharePoint Online در Microsoft 365 را متاثر نمیکند.
اقدامات پیشنهادی برای رفع مشکل آسیبپذیری CVE-2025-53770
- بهروزرسانی فوری سیستمهای SharePoint
- مایکروسافت نسخههای اصلاحشده را در تاریخهای20 و 21 ژوئیه ۲۰۲۵ برای SharePoint Server 2019 و Subscription Edition منتشر کردهاست. کاربران SharePoint 2016 باید منتظر انتشار بهروزرسانی رسمی بمانند.
- محدودسازی دسترسی سرورهای آسیبپذیر
- در صورت اتصال SharePoint به اینترنت، آن را بهطور موقت جدا کنید یا از طریق Firewall محدود نمایید تا شانس بهرهبرداری کاهش یابد.
بیشتر بخوانید: تجربه جدید و مدرن جستجو در SharePoint Server 2019
- اجرای اقدامات تکمیلی امنیتی
- فعالسازی Antimalware Scan Interface (AMSI) و Defender Antivirus یا معادلهای دیگر.
- گردش رمزهای MachineKey، ریاستارت سرویسIIS، و راهاندازی ابزارهای تشخیص نقطه پایانی EDR/EDR-like برای شناسایی رفتارهای مشکوک.
- نظارت و بررسی Incident Response
- پایش لاگها برای شاخصهای نفوذ یا Indicators of Compromise.
- استفاده از محصولات Unit 42 ،Palo Alto Networks، یا ابزار Threat Intelligenceِ دیگر برای تشخیص فعالیتهای مرتبط با ToolShell.
- بررسی نسخههای پیشین
- آسیبپذیریهای قبلی مانند CVE‑2025‑49704 و CVE‑2025‑49706 که بعدها تحت عناوین جدید ریمدی شدند اگر Patch نشده باشند، همچنان خطرناک هستند و باید بررسی و اصلاح شوند.
| مورد | توضیح |
|---|---|
| درجه خطر | بسیار بحرانی CVSS 9.8، Zero‑Day، فعال در حملات جهانی |
| CVE اصلی | CVE‑2025‑53770 و CVE‑2025‑53771 در برخی موارد مرتبط |
| سیستمهای متاثر | Microsoft SharePoint On‑Premises (نسخههای 2019 و 2016 در آینده) |
| راه حل فوری | اعمال patch رسمی، قطع دسترسی عمومی، گردش کلیدهای ماشین – در صورت امکان جداسازی موقت |
| اقدامات تکمیلی | فعالسازی AMSI/Antivirus، تنظیم EDR، نظارت logs و پاسخ به حادثه |
اگر شما یا سازمانی که به آن وابستهاید، از SharePoint On‑Premises استفاده میکند، سریعا این مراحل را بررسی و اجرا نمایید تا از یک نفوذ جدی جلوگیری شود.
نحوه بهرهبرداری مهاجمان در آسیبپذیری CVE-2025-53770
نحوه عملکرد حمله
- مهاجم بدون نیاز به احراز هویت، درخواست HTTP POST را به Endpoint خاصی در SharePoint ارسال میکند.
- در این درخواست، از objectهای NET مخرب در قالب ViewState یا BinaryFormatter استفاده میشود.
- سرور SharePoint به دلیل وجودDeserialization ناامن، کد ارسالی مهاجم را اجرا میکند.
- کد میتواند شامل یک Web Shell ،reverse shell یا حتی loader اولیه باجافزار باشد.
شاخصهای نفوذ یا IOCs
| نوع | مقدار یا توضیح |
|---|---|
| URL مشکوک | /sites/xyz/_layouts/15/ToolPane.aspx |
| User-Agent | مرورگرهای جعلی یا ابزارهای خط فرمان مثل curl/wget |
| فایلهای ایجادشده | shell.aspx, cmd.aspx, یا فایلهای مخفی در مسیر /_layouts/ یا /_catalogs/masterpage/ |
| رفتار شبکه | اتصال غیرمنتظره outbound از SharePoint به IPهای ناشناس |
پیشنهادهای امنیتی پیشرفته
استفاده از WAF یا Web Application Firewall
- استفاده از WAFهایی مثل F5 و FortiWeb یا Cloudflare برای شناسایی و بلاک کردن رفتارهای غیرعادی POST به مسیرهای SharePoint.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
بهکارگیری Ruleهای اختصاصی SIEM/SOAR
- Ruleهای Splunk یا Qradar میتوانند:
index=sharepoint_logs uri_path=”/_layouts/15/ToolPane.aspx” method=POST
را پایش کرده و هشدار دهند.
حذف فایلهای ناشناس
- مسیر
C:\inetpub\wwwroot\wss\VirtualDirectories\را بررسی کنید و هر فایل مشکوکی مثل ASPXهای غیرمایکروسافتی را پاک کنید.
رمزگذاری و امضای ViewState
- در فایل Web.config مطمئن شوید که مقادیر
ViewStateEncryptionModeوViewStateUserKeyبه درستی تنظیم شدهاند تا جلوی Tampering گرفته شود.
Patch با PowerShell یا WSUS
برای بررسی نصب بودن Patch در PowerShell
Get-HotFix -Id KB5038394 # به عنوان مثال برای SharePoint 2019
نمونه سناریوی حمله و تشخیص
فرض کنید مهاجم با ارسال درخواست POST به URL زیر:
https://victim.com/sites/hr/_layouts/15/ToolPane.aspx
یک فایل webshell.aspx را بارگذاری میکند. سپس با اجرای:
https://victim.com/sites/hr/webshell.aspx?cmd=whoami
کد را روی سرور اجرا میکند. در صورتی که سیستم لاگینگ فعال باشد، میتوانید چنین دسترسیهایی را شناسایی کنید.
یکچکلیست جامع پاسخ به حادثه Incident Response Checklist برای آسیبپذیری خطرناک CVE-2025-5 درMicrosoft SharePoint حمله ToolShell ارائه شده است. این چکلیست مخصوص تیمهای SOC ،ITSec و مدیران سیستم طراحی شده و قابل استفاده در شرایط واقعی حمله یا ارزیابی پیشگیرانه است.
بیشتر بخوانید: راهکار WAF چگونه از برنامه های کاربردی تحت وب محافظت میکند – قسمت اول
چکلیست پاسخ به حادثه: CVE-2025-53770 (ToolShell) – SharePoint
مرحله ۱: شناسایی یا Detection
| مورد | وضعیت | توضیح |
|---|---|---|
| بررسی لاگهای SharePoint (IIS Logs, ULS Logs) | ☐ | بررسی درخواستهای POST مشکوک به مسیر /_layouts/15/ToolPane.aspx |
| بررسی درخواستهای بدون احراز هویت به مسیرهای مخفی | ☐ | به ویژه فایلهای ASPX جدید در مسیرهای /sites/* |
| بررسی اتصالهای Outbound مشکوک از SharePoint | ☐ | شامل درخواستهای DNS ،HTTP یا SMB غیرعادی |
| استفاده از ابزارهای EDR برای رفتارهای غیرمعمول | ☐ | مثل اجرای PowerShell، ایجاد فایلهای .aspx جدید |
| بررسی تغییرات در فایلهای Web.config | ☐ | بررسی برای تغییرات در MachineKey یا رمزگذاری ViewState |
مرحله ۲: مهار یا Containment
| مورد | وضعیت | توضیح |
|---|---|---|
| جداسازی SharePoint از اینترنت موقتاً | ☐ | بلاک کردن پورت 80/443 در فایروال برای IPهای خارجی |
| مسدودسازی مسیرهای ToolPane.aspx از طریق WAF | ☐ | اضافه کردن Rule به F5، FortiWeb یا Cloudflare |
پاکسازی فایلهای مشکوک ASPX از مسیر wwwroot | ☐ | فایلهایی مثل cmd.aspx، rev.aspx، shell.aspx |
| توقف پروسسهای مشکوک در سرور با PowerShell | ☐ | مثل PowerShell یا Wscript بدون parent مشخص |
مرحله ۳: حذف تهدید یا Eradication
| مورد | وضعیت | توضیح |
|---|---|---|
| نصب فوری Patch رسمی مایکروسافت | ☐ | بررسی نصب KB5038394 یا معادل آن برای نسخه شما |
| ریست کردن MachineKey و SessionKey در Web.config | ☐ | جلوگیری از استفاده کلیدهای قدیمی توسط مهاجم |
| بررسی کامل مسیرهای فایل و اسکریپتهای اضافی | ☐ | شامل Scheduled Tasks، Run Keys، فایلهای startup |
| اجرای Full Malware Scan با Defender یا EDR | ☐ | استفاده از Microsoft Defender ATP یا CrowdStrike |
مرحله ۴: بازیابی یا Recovery
| مورد | وضعیت | توضیح |
|---|---|---|
| فعالسازی Load Balancer تنها پس از اطمینان پاکسازی | ☐ | راهاندازی گام به گام در محیط Production |
| بررسی Snapshot یا Backup سالم قبل از حمله | ☐ | بازگردانی در صورت آسیب جدی به هسته سیستم |
| تست دسترسی کاربران به SharePoint با حسابهای تست | ☐ | قبل از باز کردن سیستم به کاربران اصلی |
| اطلاعرسانی به ذینفعان و کاربران نهایی در صورت نیاز | ☐ | شفافسازی برای کاهش شایعات و اعتمادسازی |
مرحله ۵: اصلاح و پیشگیری یا Lessons Learned
| مورد | وضعیت | توضیح |
|---|---|---|
| اعمال Rule در SIEM برای نظارت مداوم مسیر ToolPane.aspx | ☐ | نمونه Rule برای Splunk, Qradar یا LogRhythm |
| تنظیم ViewStateUserKey و اعتبارسنجی قویتر | ☐ | برای کاهش احتمال حملات آینده |
| آموزش تیم DevOps و Admin در مورد Exploit های .NET | ☐ | مخصوصاً در زمینه deserialization و viewstate |
| مستندسازی حادثه برای بررسی داخلی و نهادهای نظارتی | ☐ | شامل زمانبندی، پاسخها، نقاط ضعف و اصلاحات |
