🔴 پارت اول هشدار امنیتی: آسیبپذیری روز صفر در Microsoft SharePoint با نام ToolShell در حال بهرهبرداری فعال است
📅 تاریخ شناسایی: 18 ژوئیه 2025
🧠 کشف توسط:
شرکت امنیتی هلندی Eye Security
در یک حمله پیچیده و هماهنگ، مهاجمان با استفاده از یک زنجیره آسیبپذیری جدید به نام ToolShell موفق شدهاند کنترل کامل از راه دور (RCE) را بدون نیاز به احراز هویت روی سرورهای آسیبپذیر SharePoint به دست آورند.
⚠️ این باگ با CVE-2025-53770 شناخته میشود و از ترکیب دو نقص حیاتی (CVE-2025-49706 + CVE-2025-49704) سوءاستفاده میکند.
🧬 ویژگی منحصربهفرد این اکسپلویت:
مهاجم با دور زدن کامل مکانیزمهای احراز هویت، به کلیدهای رمزنگاری داخلی
(ValidationKey / DecryptionKey)
دسترسی یافته و با جعل کامل ورودیهای امن، قادر به اجرای بارهای مخرب بهصورت قانونی از دید SharePoint میشود.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
📅 تاریخ شناسایی: 18 ژوئیه 2025
🧠 کشف توسط:
شرکت امنیتی هلندی Eye Security
در یک حمله پیچیده و هماهنگ، مهاجمان با استفاده از یک زنجیره آسیبپذیری جدید به نام ToolShell موفق شدهاند کنترل کامل از راه دور (RCE) را بدون نیاز به احراز هویت روی سرورهای آسیبپذیر SharePoint به دست آورند.
⚠️ این باگ با CVE-2025-53770 شناخته میشود و از ترکیب دو نقص حیاتی (CVE-2025-49706 + CVE-2025-49704) سوءاستفاده میکند.
🧬 ویژگی منحصربهفرد این اکسپلویت:
مهاجم با دور زدن کامل مکانیزمهای احراز هویت، به کلیدهای رمزنگاری داخلی
(ValidationKey / DecryptionKey)
دسترسی یافته و با جعل کامل ورودیهای امن، قادر به اجرای بارهای مخرب بهصورت قانونی از دید SharePoint میشود.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
❤1
🔴 پارت دوم هشدار امنیتی: آسیبپذیری روز صفر در Microsoft SharePoint
📌 حمله از طریق endpoint آسیبپذیر زیر انجام میشود:
/_layouts/15/ToolPane.aspx
👁 تیم Eye Security طی بررسی خود، موج اول حملات را در تاریخ ۱۸ جولای و موج دوم را ۱۹ جولای از IPهای مشخص شناسایی کرده و آن را بزرگترین بهرهبرداری عملیاتیشده SharePoint از زمان CVE-2021-28474 دانسته است.
✅ پچ را فوراً نصب کنید، اما به یاد داشته باشید: وصله، مهاجمینی که اکنون درون سیستم هستند را حذف نمیکند.
مایکروسافت بهطور رسمی CVE-2025-53770 را بهعنوان شناسه CVE مخصوص سوءاستفاده فعال از آسیبپذیری ToolShell معرفی کرده و در وصله امنیتی ژوئیه ۲۰۲۵، بروزرسانیهای حیاتی برای SharePoint Server 2016، 2019 و نسخه Subscription ارائه داده است.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
📌 حمله از طریق endpoint آسیبپذیر زیر انجام میشود:
/_layouts/15/ToolPane.aspx
👁 تیم Eye Security طی بررسی خود، موج اول حملات را در تاریخ ۱۸ جولای و موج دوم را ۱۹ جولای از IPهای مشخص شناسایی کرده و آن را بزرگترین بهرهبرداری عملیاتیشده SharePoint از زمان CVE-2021-28474 دانسته است.
✅ پچ را فوراً نصب کنید، اما به یاد داشته باشید: وصله، مهاجمینی که اکنون درون سیستم هستند را حذف نمیکند.
مایکروسافت بهطور رسمی CVE-2025-53770 را بهعنوان شناسه CVE مخصوص سوءاستفاده فعال از آسیبپذیری ToolShell معرفی کرده و در وصله امنیتی ژوئیه ۲۰۲۵، بروزرسانیهای حیاتی برای SharePoint Server 2016، 2019 و نسخه Subscription ارائه داده است.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
پارت سوم هشدار امنیتی: آسیبپذیری روز صفر در Microsoft SharePoint
تحلیل فنی و آماری آسیبپذیری ToolShell در SharePoint
🛡 نسخههای آسیبپذیر عبارتند از:
* SharePoint 2016 پیش از: 16.0.5508.1000 (KB5002744)
* SharePoint 2019 پیش از: 16.0.10417.20027 (KB5002741)
* SharePoint Subscription Edition پیش از: 16.0.18526.20424
‼️ مایکروسافت تأکید کرده است: هیچ راهحل جایگزینی وجود ندارد. تنها اقدام موثر، وصله فوری است.
📊 شاخصهای نفوذ (IOCs) مرتبط با حمله ToolShell به SharePoint:
🧩 آدرسهای IP مخرب:
▪️ 107.191.58[.]76 – منبع موج اول حمله (۱۸ ژوئیه ۲۰۲۵)
▪️ 104.238.159[.]149 – منبع موج دوم حمله (۱۹ ژوئیه ۲۰۲۵)
🧩عامل کاربری (User-Agent) مشکوک:
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
(در لاگهای IIS معمولاً به صورت URL-Encoded ظاهر میشود)
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
تحلیل فنی و آماری آسیبپذیری ToolShell در SharePoint
🛡 نسخههای آسیبپذیر عبارتند از:
* SharePoint 2016 پیش از: 16.0.5508.1000 (KB5002744)
* SharePoint 2019 پیش از: 16.0.10417.20027 (KB5002741)
* SharePoint Subscription Edition پیش از: 16.0.18526.20424
‼️ مایکروسافت تأکید کرده است: هیچ راهحل جایگزینی وجود ندارد. تنها اقدام موثر، وصله فوری است.
📊 شاخصهای نفوذ (IOCs) مرتبط با حمله ToolShell به SharePoint:
🧩 آدرسهای IP مخرب:
▪️ 107.191.58[.]76 – منبع موج اول حمله (۱۸ ژوئیه ۲۰۲۵)
▪️ 104.238.159[.]149 – منبع موج دوم حمله (۱۹ ژوئیه ۲۰۲۵)
🧩عامل کاربری (User-Agent) مشکوک:
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
(در لاگهای IIS معمولاً به صورت URL-Encoded ظاهر میشود)
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft