حملۀ سایبری بزرگ به مایکروسافت جهان را شوکه کرد

مایکروسافت از حمله سایبری جهانی به SharePoint Server خبر داد که نقص امنیتی آن به مهاجمان، اجازه نفوذ بدون احراز هویت را می‌داد. این حمله که با شناسه CVE-2025-53770 ثبت شده، زیرساخت‌های حیاتی در سراسر جهان از جمله نهادهای دولتی و شرکت‌های بزرگ را هدف قرار داده است. مهاجمان پس از نفوذ، با ایجاد درهای پشتی و استفاده از ابزارهای قانونی، از شناسایی توسط سیستم‌های امنیتی گریخته‌اند.

نویسنده : علی پژوهش

کد خبر : 986071

اشتراک گذاری

به گزارش خبرگزاری آنا؛ حملات سایبری موسوم به «روز صفر» همچون اشباحی در سامانه‌ها بی‌صدا، نامرئی و ویرانگر هستند و در لحظه‌ای که کشف می‌شوند که دیگر کار از کار گذشته است. هفته گذشته، شرکت مایکروسافت یکی از جدی‌ترین نفوذ‌های دیجیتال سال‌های اخیر خود را تأیید کرد؛ حمله‌ای موسوم به «روز صفر» در سکوی SharePoint Server که به مهاجمان اجازه داد زیرساخت‌های حیاتی در سراسر جهان را مورد حمله قرار دهند. تأثیرات آن دامنه‌ای از نهاد‌های دولتی، مؤسسات آموزشی و شرکت‌های خصوصی را دربر گرفت و نشان داد که حتی بزرگترین محیط‌ها و شرکت‌های رقومی «دیجیتال» از حملات سایبری مصون نیستند.

ماهیت حملات «روز صفر»

آسیب‌پذیری «روز صفر» (Zero-Day Exploit) به نقصی در نرم‌افزار گفته می‌شود که توسعه‌دهنده از آن بی‌اطلاع است و هیچ «فرصتی» برای شناسایی و رفع آن وجود ندارد. در چنین شرایطی، مهاجمان با احتمال موفقیت بالا وارد عمل می‌شوند. براساس گفتۀ منابع خبری نقص فنی در SharePoint مایکروسافت، علاوه بر ناشناختگی، بسیار قدرتمند بوده است و مهاجمین با کمک آن بدون احراز هویت، از راه دور کد‌های مخرب اجرا کرده‌اند!

ورود مخفیانه، ماندگاری طولانی

گفته‌های منابع رسانه‌ای حاکی از این است که مهاجمین پس از نفوذ، به کاوش ساده بسنده نکردند؛ آن‌ها اسکریپت‌های مخفی موسوم به «وب‌شِل» را بارگذاری کردند، کلید‌های رمزنگاری را نیز به دست آوردند و در سکوت کامل برای نفوذ خود در‌های پشتی ایجاد کردند تا حتی بعد از به‌روزرسانی‌های معمول نیز به سیستم‌ها دسترسی داشته باشند!

حمله‌ای که معمولی نبود

این آسیب‌پذیری که با شناسه CVE-۲۰۲۵-۵۳۷۷۰ ثبت شده، در نسخه‌های داخلی (on-premises) از SharePoint Server ۲۰۱۶، ۲۰۱۹ و نسخه اشتراکی مشاهده شد. امکان اجرای کد بدون احراز هویت آن را به دروازه‌ای برای ورود به سامانه‌های ارزشمند تبدیل کرده است. شواهد نشان می‌دهد مهاجمین به احتمال زیاد در تاریخ ۱۸ جولای (یا بعد از آن) استفاده از این نقص را آغاز کرده‌اند، هرچند تأیید رسمی مایکروسافت مربوط به ۲۰ جولای است.

بررسی‌ها حاکی از یک حمله بزرگ علیه سازمان‌های فدرال و ایالتی آمریکا، دولت‌های خارجی، شرکت‌های مخابراتی، دانشگاه‌ها و شرکت‌های انرژی در سراسر آمریکای شمالی، اروپا و بخش‌هایی از آسیاست. برهمین اساس اعلام شده است که اکنون نهاد‌های اطلاعاتی آمریکا نظیر FBI، CIA و واحد‌های اطلاعاتی سایبری جهانی در حال پیگیری ابعاد این رخنه امنیتی هستند.

نفوذ پنهان، بدون باج‌خواهی

ناظران بین‌المللی می‌گویند که برخلاف حملات باج‌افزار یا DDoS که با سر و صدا همراهند، این نفوذ با هدف ماندگاری و بی‌صدا بودن طراحی شده بود. مهاجمان اسکریپت‌هایی شبیه فایل‌های عادی سرور وارد کرده‌اند، داده‌های حساس از جمله کلید‌های رمزنگاری برای ارتباطات داخلی را به دست آورده‌اند. حتی در مواردی با استفاده از ابزار‌های مدیریت قانونی، از شناسایی توسط سامانه‌های امنیتی گریخته‌اند!

سکوی SharePoint مایکروسافت یک ابزار سازمانی صرف نیست، این سرویس ستون اصلی گردش اطلاعات و کنترل دسترسی در بسیاری از شرکت‌های بزرگ است. به همین دلیل، نفوذ به آن اغلب به حرکت جانبی مهاجمان در شبکه منجر می‌شود.

مایکروسافت بسیار دیر واکنش نشان داد

مایکروسافت بعد از اطلاع از حمله بروزرسانی‌های امنیتی اضطراری برای نسخه‌های آسیب‌پذیر منتشر کرد و به‌طور جدی از همه سازمان‌ها خواست به‌سرعت آن‌ها را اعمال کنند. همچنین توصیه‌ای کم‌سابقه برای تعویض کلید‌های ماشین (Machine Keys) که بخش مرکزی رمزنگاری برنامک‌های SharePoint هستند، صادر کرد. این شرکت هشدار داد سرور‌هایی که پیش از نصب بروزرسانی‌های امنیتی قابل‌دسترسی عمومی بوده‌اند، باید به‌عنوان سیستم‌های احتمالی «نفوذ یافته» در نظر گرفته شوند.

بروزرسانی‌های امنیتی به تنهایی کافی نیستند

کارشناسان امنیت سایبری می‌گویند که نصب بروزرسانی‌ها و پیوست‌های امنیتی جدید به تنهایی برای مواجهه با حملۀ رخ داده کافی نیستند؛ سازمان‌ها باید بررسی‌های جامعی انجام دهند. از جملۀ کارهای مورد نیاز برای دفع این حمله از نظر کارشنااسان تحلیل فایل‌های لاگ برای کشف دسترسی‌های غیرمجاز، اسکن کامل برای یافتن وب‌شِل‌ها، و اطمینان از مسدود بودن در‌های پشتی است. مایکروسافت خود می‌گوید که مقابله با این نفوذ نیازمند ترکیب اقدامات فنی و بررسی‌های قضایی است.

مهاجمین شناسایی نشده‌اند

برخی تحلیل‌گران امنیتی روش‌هایی را شناسایی کرده‌اند که با گروه‌های APT (تهدیدات پایدار پیشرفته با حمایت دولت‌ها) مرتبط است؛ گروه‌هایی که بیشتر به دنبال جمع آوری اطلاعات هستند و منافع مالی برای آن‌ها اهمیت چندانی ندارد، از نظر آن‌ها عدم رمزگذاری سیستم‌ها و نبود درخواست باج، نشان‌دهنده هدف‌گذاری برای دستیابی بلندمدت به اطلاعات حساس است. مایکروسافت و مقامات فدرال آمریکا هنوز عامل مشخصی را برای حمله معرفی نکرده‌اند.

کاربرد و ماهیت SharePoint

پلتفرم Microsoft SharePoint یک سامانه مبتنی بر وب برای مدیریت محتوا، همکاری تیمی و سازماندهی اطلاعات است که نخستین بار در سال ۲۰۰۱ معرفی شد. این ابزار به شرکت‌ها امکان می‌دهد تا اسناد، تصاویر، ویدئوها، صفحات وب، فهرست‌ها و داده‌های سازمانی را در یک محیط امن ذخیره، سازماندهی و به اشتراک بگذارند. SharePoint به‌صورت محلی (On-Premises) یا ابری (SharePoint Online در Microsoft 365) قابل استفاده است و از طریق مرورگرهایی مانند Edge، Chrome یا Firefox قابل دسترسی است. به گفته پشتیبانی مایکروسافت، این سکو به کاربران اجازه می‌دهد تا از هر مکان و با هر دستگاهی به اطلاعات سازمانی خود دسترسی داشته باشند.

کاربردهای SharePoint بسیار گسترده‌اند و شامل مدیریت اسناد، ساخت اینترانت سازمانی، همکاری تیمی، اتوماسیون فرآیندها، مدیریت پروژه، و ایجاد پایگاه‌های دانش می‌شود. به عنوان مثال، شرکت‌ها از SharePoint برای ساخت پورتال‌های داخلی و غیرعمومی جهت انتشار اخبار، رویدادها و اطلاعات منابع انسانی استفاده می‌کنند. همچنین قابلیت‌هایی مانند ویرایش هم‌زمان اسناد، کنترل نسخه‌ها، اشتراک‌گذاری امن، و جستجوی پیشرفته باعث شده‌اند که SharePoint به یکی از ابزارهای کلیدی در محیط‌های کاری مدرن تبدیل شود. طبق گزارش شیرپوینت ماؤن، این سرویس در حال حاضر بخشی از زیست‌بوم سیستم Microsoft 365 محسوب می‌شود و با ابزارهایی مانند Teams، OneDrive و Power Automate یکپارچه شده است تا بهره‌وری سازمان‌ها را افزایش دهد.

تبعات این حمله برای مایکروسافت و کاربران آن چیست؟

براساس گزارش منابع خبری، مهاجمان در این حمله با استفاده از روزنه‌ای که پیدا کرده‌اند، موفق شده‌اند به بیش از ۷۵ سازمان از جمله نهاد‌های دولتی، شرکت‌های انرژی، دانشگاه‌ها و شبکه‌های مخابراتی در سراسر جهان نفوذ کنند.

این نفوذ شامل دسترسی به فایل‌ها، کلید‌های رمزنگاری، و ایجاد در‌های پشتی برای ورود مجدد به سیستم‌ها بوده است. حتی پس از نصب بروزرسانی‌های امنیتی، مهاجمان می‌توانند با استفاده از کلید‌های سرقت‌شده، هویت کاربران یا سرویس‌ها را جعل کرده و به داده‌های حساس دسترسی یابند!. این موضوع امنیت ارتباطات داخلی، اسناد محرمانه و فرآیند‌های کاری سازمان‌های و نهاد مهم زیادی در جهان را به مخاطره انداخته است.

این رخنه امنیتی برای مایکروسافت، فقط یک چالش فنی نیست و یک بحران بزرگ در راستای سلب اعتماد مشتریان بزرگ سازمانی محسوب می‌شود. فوربس در این خصوص می‌گوید، عدم ارائه فوری بروزرسانی امنیتی و تأخیر در اطلاع‌رسانی به کاربران، انتقادات گسترده‌ای را نسبت به شرکت آمریکایی مایکروسافت به‌دنبال داشته است.

کارشناسان هشدار در خصوص این حمله هشدار داده‌اند که این عملیات سایبری می‌تواند به حرکت جانبی مهاجمان در کل شبکه منجر شود و حتی سرویس‌هایی مانند Outlook، Teams و OneDrive را نیز در معرض خطر قرار دهد. همچنین، مایکروسافت بعد از حملۀ مورد اشاره مجبور شده است تا توصیه‌هایی کم‌سابقه مانند تعویض کلید‌های رمزنگاری و قطع اتصال سرور‌ها از اینترنت را صادر کند، که نشان‌دهنده شدت تهدید و آسیب‌پذیری زیرساخت‌های محلی در برابر حملات پیچیدۀ شکل‌گرفته است.

انتهای پیام/