شناسایی آسیبپذیری زنجیرهای در Microsoft SharePoint
شناسایی آسیبپذیری زنجیرهای
این آسیبپذیری، متشکل از سوءاستفاده زنجیرهای(و یا همان chain-based) از دو آسیبپذیری با شناسههای CVE-2025-53770 و CVE-2025-53771 در Microsoft SharePoint است.
به گزارش مرکز مدیریت راهبردی افتا، فهرست آسیبپذیریهای دخیل در این زنجیره که در منابع غیررسمی ToolShell خوانده میشود، در جدول زیر آمده است:
|
آسیبپذیریهای مورد سوءاستفاده |
||
|
ردیف |
شناسه آسیبپذیری |
Severity (سطح اهمیت آسیبپذیری) |
|
1 |
CVE-2025-53770 |
Critical (بحرانی) |
|
2 |
CVE-2025-53771 |
Medium (میانه) |
این آسیبپذیری صرفا در نسخههای on-premises وجود دارد و نسخههای آنلاین تحت تاثیر این آسیبپذیری نیستند. با این وجود بهدلیل عدم رعایت سیاستها و پروتکلهای امنیتی، برخی از سازمانها نسخههای on-premises را در لبه اینترنت خود قرار دادهاند و تحت تاثیر این آسیبپذیری هستند.
فهرست محصولات تحت تاثیر آسیبپذیری یاد شده در جدول زیر آمده است:
|
ردیف |
محصولات تحت تاثیر |
|
1 |
SharePoint 2016 |
|
2 |
SharePoint 2019 |
|
3 |
SharePoint Subscription Edition |
شرح آسیبپذیری:
مهاجم در ابتدا با سوءاستفاده از آسیبپذیری با شناسه CVE-2025-53771 از طریق ارسال یک درخواست دستکاری شده با متد Post به مسیر layouts/15/ToolPane.aspx، مکانیزم احراز هویت را دور میزند، سپس با سوءاستفاده از آسیبپذیری CVE-2025-53770 که از نوع Deserialization است، اقدام به آپلود یک اسکریپت وبشل میکند، این وبشل، کدی برای اجرا شدن دستورات دلخواه و سرقت اطلاعات ماشین (از جمله Machine Key برای فاز persist حمله و یا همان ماندگاری درسیستم هدف) است.
راهکارهای امنسازی:
• نصب فوری وصلههای امنیتی و بهروزرسانی به نسخههای امن ارائه شده توسط مرجع محصول (یعنی شرکت مایکروسافت)
• فعالسازی آنتی ویروس و EDR معتبر
• بهروزرسانی قوانین IPS و WAF برای مسدود کردن حملات
• چرخش یا rotate کردن کلیدهای ماشین (Machine Keys Rotate)
نظر دهید