مایکروسافت در معرض حملات هدفمند به SharePoint – آیا دفاع کافی هست؟

در تاریخ ۲۰ ژوئیه ۲۰۲۵، تیم امنیتی مایکروسافت اعلام کرد که یک آسیب‌پذیری بحرانی (CVE-2025‑۵۳۷۷۰) در نسخه‌های رک‌سرور SharePoint شناسایی و در حال بهره‌برداری توسط هکره می باشد. مشکل اصلی ناشی از فرآیندی است که به «DESERIALIZATION اشتباه داده» مربوط می‌شود؛ این حفره به مهاجم اجازه می‌دهد که با دزدیدن MachineKey، توانایی اجرای کد دلخواه روی سرور را فراهم آورد و بر اساس امتیاز CVSS‌، نمره ۹.۸ را دریافت کرده است که شدیداً بحرانی است.

حملات در جریان – Patch هنوز آماده نیست

مایکروسافت تأیید کرده است که «در حال حاضر هیچ پچی برای این آسیب‌پذیری ارائه نشده» و سرورهایی در سازمان‌های متعددی (شرکت‌ها، نهادهای دولتی و…) مورد حملات فعال قرار گرفته‌اند!

راهکارهای میان‌مدت برای کاهش خطر

جهت مدیریت وضعیت و محافظت فوری در برابر این حملات، مایکروسافت اقدامات زیر را توصیه کرده است:

1. فعال‌سازی فوری AMSI (Antimalware Scan Interface) روی سرورها
2. استفاده از Microsoft Defender Antivirus جهت اسکن و مسدودسازی رفتارهای مخرب.

این اقدامات تا زمان ارائه پچ رسمی، تنها «خط دفاعی فعلی» هستند. اگر سازمانی قادر به پیاده‌سازی آنها نیست، توصیه شده است که سرور SharePoint را آفلاین یا ایزوله کنند .

اکنون Patch امنیتی منتشر شد!

خبرگزاری رویترز گزارش داد که در تاریخ ۲۱ ژوئیه ۲۰۲۵، مایکروسافت سرانجام پچ اضطراری برای این آسیب‌پذیری منتشر کرده است ReutersThe Hacker News. وصله شامل رفع آسیب‌پذیری CVE‑۲۰۲۵‑۵۳۷۷۰ و همچنین یک مشکل جدید (CVE‑۲۰۲۵‑۵۳۷۷۱ با نمره CVSS 6.3) است. خبرگزاری The Hacker News نیز تأیید کرد که مایکروسافت با این آپدیت، «محافظت پیشرفته‌تری» ارائه کرده است.

اقدامات فوری پیشنهاد شده

طبق هشدار اخیر و توصیه کارشناسان امنیتی، اقدامات زیر ضروری‌اند:

• بلافاصله پچ امنیتی جدید را روی سرورهای On‑Premise نصب کنید.
• اگر انجام پچ هنوز مقدور نیست، حتماً AMSI + Defender AV را فعال نمایید.
• در صورت عدم امکان نصب یا تاخیر، سرورها را از شبکه اینترنت ایزوله کنید.
• همچنین لازم است داده‌های حساس مرتبط با سرور (مثل credential و keyهای اصلی) بازنشانی/تغییر یابند.

 وضعیت فعلی و توصیه‌های بلندمدت

• آسیب‌پذیری فقط نسخه‌های محلی (On‑Prem) SharePoint را هدف قرار می‌دهد؛ SharePoint Online در محیط مایکروسافت ۳۶۵ آسیب‌پذیر نیست.
• هنوز جزئیات دقیقی از تاکتیک مهاجمین، تعداد سیستم‌های از کار افتاده یا اعتبار قربانیان در دست نیست – ولی فعال بودن حملات اثبات‌ شده‌اند.
• روند عادی در ماه ژوئیه شامل رفع برخی مشکلات SharePoint و دیگر محصولات بود، اما این آسیب‌پذیری بحرانی خارج از قالب Patch Tuesday قرار داشته است. 

آسیب‌پذیری جدید کشف‌شده در SharePoint، بار دیگر اهمیت به‌روزرسانی سریع سیستم‌ها و نظارت دقیق بر وضعیت امنیتی زیرساخت‌های سازمانی را گوشزد می‌کند. این آسیب‌پذیری با نمره CVSS 9.8 به‌عنوان یک تهدید بحرانی شناخته شده و مورد سوءاستفاده هکرها قرار گرفته است. خوشبختانه، مایکروسافت به‌سرعت نسبت به انتشار وصله امنیتی اضطراری واکنش نشان داد، اما مسئولیت اصلی بر عهده‌ی تیم‌های امنیت سازمان‌هاست که باید اقدامات لازم را بدون تاخیر انجام دهند.

مهم‌ترین گام، نصب فوری پچ امنیتی منتشرشده برای نسخه‌های آسیب‌پذیر SharePoint است. در صورتی که به هر دلیل امکان این کار فراهم نیست، توصیه می‌شود اقدامات موقتی نظیر فعال‌سازی قابلیت AMSI، استفاده از Microsoft Defender Antivirus و ایزوله‌سازی سرورها انجام شود. همچنین در صورت احتمال نفوذ مهاجم، تغییر و بازنشانی اطلاعات حساس، از جمله رمزها و کلیدهای سروری، ضروری است.

هرچند SharePoint Online در برابر این حمله مصون است، اما سازمان‌هایی که از نسخه‌های On‑Prem استفاده می‌کنند، در معرض خطر مستقیم قرار دارند. بنابراین، صرف‌نظر از اندازه سازمان یا حوزه کاری، همه مدیران فناوری اطلاعات باید نسبت به این هشدار امنیتی واکنش جدی نشان دهند و زیرساخت‌های خود را با حداکثر دقت محافظت کنند.

در نهایت، این حادثه یادآور این حقیقت است که امنیت سایبری، نیازمند واکنش سریع، به‌روزرسانی مداوم و آمادگی همیشگی در برابر تهدیدهای نوظهور است. غفلت در این زمینه می‌تواند به پیامدهای جبران‌ناپذیری منجر شود.