هکرها در حال هدف قرار دادن سرورهای «مایکروسافت شیرپوینت» هستند

آژانس امنیت سایبری و زیرساخت ایالات متحده (سی‌آی‌اس‌ای) در گزارشی که در ۲۰ ژوئیه (۲۹ تیر) منتشر شد اعلام کرد که هکرها در حال بهره‌برداری از آسیب‌پذیری‌های سرورهای داخلی مایکروسافت شیرپوینت (Microsoft SharePoint) هستند.

سرورهای شیرپوینت ابزاری برای ایجاد شبکه درون‌سازمانی، مدیریت اسناد، ساخت وب‌سایت‌های داخلی و تسهیل همکاری میان اعضای یک سازمان محسوب می‌شوند.

به گفته سی‌آی‌اس‌ای «این فعالیت بهره‌بردارانه که به‌طور عمومی با عنوان “ToolShell” گزارش شده، دسترسی بدون احراز هویت به سیستم‌ها فراهم می‌کند و به مهاجمان اجازه می‌دهد به محتوای کامل شیرپوینت از جمله فایل‌ها، تنظیمات داخلی و حتی اجرای کد در سطح شبکه دسترسی پیدا کنند.» این نهاد افزود که دامنه و پیامدهای این حملۀ موسوم به اجرای کد از راه دور (RCE) همچنان در حال بررسی است.

مایکروسافت یک روز پیش‌تر، در ۱۹ ژوئیه (۲۸ تیر)، این مشکل را تأیید کرد. این شرکت در گزارشی راهنما اعلام کرد که حملات فقط سرورهای داخلی شیرپوینت را هدف قرار داده‌اند و نسخه ابری این سرویس، یعنیSharePoint Online  در بسته Microsoft 365، سیستم متفاوتی است و تحت تأثیر این آسیب‌پذیری قرار نگرفته است.

بر اساس اعلام مایکروسافت، مجموعه شیرپوینت در حال حاضر توسط بیش از ۲۰۰ هزار سازمان و ۱۹۰ میلیون کاربر در سراسر جهان مورد استفاده قرار می‌گیرد.

مایکروسافت همچنین گفت به‌روزرسانی امنیتی ماه ژوئیه تنها بخشی از آسیب‌پذیری‌های موجود را پوشش می‌دهد و افزود: «به‌روزرسانی‌های امنیتی جدید برای کاربران نسخه اشتراکی SharePoint و SharePoint 2019  منتشر شده‌اند که حفاظت کامل‌تری را فراهم می‌کنند.»

مایکروسافت به کاربران توصیه کرده است که در اسرع وقت به‌روزرسانی‌های امنیتی را نصب کنند تا از سیستم‌های خود در برابر حملات محافظت کنند. با این حال، به‌روزرسانی‌های امنیتی برای کاربران SharePoint 2016  هنوز منتشر نشده‌اند.

مایکروسافت همچنین فهرستی از راهکارهای کاهش آسیب را منتشر کرده است، از جمله:

• نصب جدیدترین به‌روزرسانی‌های امنیتی
• استفاده از نسخه‌های پشتیبانی‌شده SharePoint Server
• فعال‌سازی و پیکربندی صحیح رابط اسکن ضدبدافزار (Antimalware Scan Interface) در کنار یک آنتی‌ویروس معتبر
• استفاده از سرویس‌هایی مانند Microsoft Defender for Endpoint
• تغییر کلیدهای ماشینی ASP.NET در SharePoint Server

جزئیات فنی بیشتر، از جمله روش‌های پیشرفته برای شناسایی تهدیدات (advanced hunting) و اقدامات تکمیلی مقابله با حملات، در وب‌سایت رسمی مایکروسافت در دسترس است.

توصیه‌های سی‌آی‌اس‌ای برای کاهش خطرات حمله RCE به سرورهای شیرپوینت

سی‌آی‌اس‌ای برای کاهش خطرات ناشی از حمله اجرای کد از راه دور (RCE) به سرورهای شیرپوینت، مجموعه‌ای از توصیه‌ها را به سازمان‌ها ارائه داده است.

سی‌آی‌اس‌ای بار دیگر بر راهنمایی‌های مایکروسافت مبنی بر فعال‌سازی Antimalware Scan Interface (AMSI)  وMicrosoft Defender  بر روی تمامی سرورها تأکید کرد.

اگر فعال‌سازی AMSI به‌صورت فوری امکان‌پذیر نباشد، این آژانس توصیه می‌کند که سازمان‌ها محصولات آسیب‌دیده را فوراً از اینترنت قطع کنند و تنها پس از ایمن‌سازی کامل، دوباره به شبکه متصل شوند.

سی‌آی‌اس‌ای همچنین از شرکت‌ها خواسته است تا پروتکل راهنمای BOD 22-01 را برای کاهش خطرات دنبال کنند.

برای شناسایی و شکار تهدیدهای پیشرفته، سازمان‌ها باید به راهنمای امنیتی مایکروسافت درباره آسیب‌پذیری جعل هویت سرور (Server Spoofing Vulnerability) با کد CVE-2025-49706 رجوع کنند؛ این آسیب‌پذیری در تاریخ ۸ ژوئیه (۱۷ تیر) منتشر شد و در ۲۰ ژوئیه (۲۹ تیر) به فهرست هشدارهای بهره‌برداری‌شده سی‌آی‌اس‌ای افزوده شد.

این هشدارها در حالی صادر می‌شود که با رشد چشمگیر استفاده از پلتفرم‌های ابری، فعالیت تهدیدهای پیشرفته‌ای که سامانه‌های هویتی و احراز هویت مبتنی بر زیرساخت‌های ابری را هدف قرار می‌دهند نیز افزایش یافته است.